Rachat de SecurityFocus par Symantec

Comme vous l'avez très certainement appris, Symantec a annoncé mercredi 17 juillet, le rachat de SecurityFocus.

Ce rachat a bien évidemment soulevé un certain nombre de questions de la part de la communauté sécurité, notamment concernant l'indépendance de la liste de sécurité "Bugtraq". En effet, cette dernière est connue pour appliquer une politique de divulgation des vulnérabilités complète ("full disclosure"), permettant aux utilisateurs de poster des informations très détaillées concernant une nouvelle vulnérabilité, dont les programmes d'exploitation. Tout ceci arrive dans le contexte que l'on connaît (voir les articles des Bulletins n°50 et n°55), où un certain nombre d'éditeurs conteste cette politique.

Symantec respecte de son côté une politique de divulgation, incluant un délai de grâce de 30 jours. L'éditeur assure quant à lui que Bugtraq sera une exception et conservera son indépendance en la matière.

Références :

• Annonce de Symantec : http://www.symantec.com/press/2002/n020717.html
• Article du Bulletin n°50 de novembre 2001 : "Points de vue récents sur la découverte de vulnérabilités" : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=50&Profil=0&Langue=0#TAG_IF_50_3
• Article du Bulletin n°55 d'avril 2002 : "Politique de divulgation des failles de sécurité du Cert-IST" : https://wws.cert-ist.com/fast-cgi/Bulletin?Param=55&Profil=0&Langue=0#TAG_IF_55_2