Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

CERT-XMCO : tout le monde n’est pas prêt à payer pour des vulnérabilités

juillet 2010 par CERT-XMCO

- Date : 26 Juillet 2010

- Gravité : Très faible

- Description :

Il semblerait que la voie empruntée par Mozilla et Google ne soit pas la voie suivie par tous les éditeurs.

En particulier, Microsoft, par le biais du directeur du "Microsoft Security Research Center (MSRC)", a fait savoir qu’il ne prévoyait pas de payer les chercheurs en sécurité pour les vulnérabilités qu’ils pouvaient découvrir. En effet, d’après Mike Reavey, les primes ne seraient pas le meilleur moyen pour Microsoft de récompenser les chercheurs.

De même, d’après Jerry Bryant, "Senior Security Program Manager Lead" chez Microsoft, il y existe d’autres moyens pour valoriser les chercheurs découvrant des vulnérabilité. Celui-ci rappelle que Microsoft n’hésite pas à reconnaître la contribution des chercheurs dans ses bulletins du "Patch Tuesday". Il ajoute également que de nombreuses personnes influentes de la communauté des chercheurs ont été engagé par Microsoft pour rejoindre ses équipes de sécurité.

Néanmoins, Microsoft n’est pas la seule grosse entreprise refusant de payer pour des vulnérabilités. Apple, Adobe, et Oracle sont par exemple parmi ceux qui refusent également de rémunérer les chercheurs "à la vulnérabilité".

- Référence :

http://www.net-security.org/secworld.php?id=9630

http://www.networkworld.com/news/2010/072210-microsoft-no-money-for.html

http://www.zdnet.com/blog/security/microsoft-no-plans-to-pay-for-security-vulnerabilities/6935

- Lien extranet XMCO Partners :

http://xmcopartners.com/veille/client/index.xmco?nv=CXA-2010-0931


Voir les articles précédents

    

Voir les articles suivants