Divulgation coordonnee des vulnerabilites (CVD).

Processus par lequel un decouvreur, l'editeur concerne et parfois un coordinateur conviennent d'un calendrier avant la publication d'une faille de securite. Cette notion relève de la catégorie Attaques et menaces en cybersécurité.

Processus par lequel un decouvreur, l'editeur concerne et parfois un coordinateur conviennent d'un calendrier avant la publication d'une faille de securite.

La divulgation coordonnee des vulnerabilites (CVD), souvent appelee divulgation responsable, encadre la maniere dont les chercheurs signalent les failles et dont les editeurs reagissent. Les etapes typiques sont : signalement prive a un contact securite, accuse de reception et triage, accord sur un delai de correction (souvent 60 a 90 jours), publication du correctif, puis avis public avec identifiant CVE et credit au chercheur. Les CERT nationaux, la CISA ou des plateformes comme HackerOne peuvent agir comme coordinateurs neutres en cas de difficulte. Par rapport a la divulgation totale, la CVD reduit la duree d'exposition tout en incitant a corriger. Elle suppose un contact securite publie, une politique claire, une clause de safe harbour et des SLA realistes.

Les défenses contre Divulgation coordonnee des vulnerabilites (CVD) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : CVD, Divulgation responsable.