Facebook a annoncé un changement de politique qui verra la société informer les développeurs tiers si elle trouve une vulnérabilité de sécurité dans leur code.

Dans un article de blog annonçant le changement, Facebook a déclaré qu’il «pouvait parfois trouver» des bogues et des vulnérabilités critiques dans le code et les systèmes tiers. «Lorsque cela se produit, notre priorité est de voir ces problèmes résolus rapidement, tout en nous assurant que les personnes concernées sont informées afin de pouvoir se protéger en déployant un correctif ou en mettant à jour leurs systèmes.»

Facebook a précédemment informé les développeurs tiers des vulnérabilités, mais le changement de politique codifie formellement la politique de l’entreprise en matière de divulgation et de révélation des vulnérabilités de sécurité.

Les programmes de divulgation de vulnérabilités, ou VDP, permettent aux entreprises de définir les règles d’engagement pour trouver et divulguer les bogues de sécurité. Les VDP aident également à guider la divulgation et la publication des vulnérabilités une fois qu’un bogue est corrigé. Les entreprises utilisent souvent une prime de bogue pour payer les pirates informatiques qui respectent les règles de déclaration et de divulgation de l’entreprise.

Le changement de politique n’est pas entièrement altruiste. Facebook, comme beaucoup d’autres entreprises technologiques, s’appuie sur une tonne de code tiers et de bibliothèques open-source. Mais en mettant le changement par écrit, il avertit également les développeurs tiers s’ils ne corrigent pas les vulnérabilités en temps opportun.

Casey Ellis, fondateur et directeur de la technologie de la plate-forme de divulgation des vulnérabilités Bugcrowd, a déclaré que le changement de politique devenait de plus en plus populaire pour les entreprises dotées d’une «grande surface d’attaque tierce centrée sur l’utilisateur» et faisait écho aux efforts similaires d’Atlassian, Google et Microsoft. .

Facebook a déclaré qu’en cas de vulnérabilité, il donnerait aux développeurs tiers 21 jours pour répondre et 90 jours pour résoudre les problèmes, un délai largement accepté pour signaler et résoudre les problèmes de sécurité. La société affirme qu’elle fera un effort raisonnable pour trouver le bon contact pour signaler une vulnérabilité, y compris, mais sans s’y limiter, l’envoi de rapports de sécurité par e-mail …