Rendre la gestion des correctifs de sécurité moins accessibles pourrait rendre leur détection moins aisée. Et donc décourager toute tentative de récupération frauduleuse.

Open source : les patchs de sécurité doivent-ils rester visibles ?

Selon une équipe de chercheurs, Adam Barth, Saung Li,  Dawn Song et Benjamin I.P. Rubinstein,issus respectivement de l'université de Berkeley, de Google et de Microsoft, la visibilité des patchs de sécurité dans le code source augmenterait la fenêtre de vulnérabilité des projets en open source. Même si ces patchs sont camouflés au sein d'une multitude d'autres correctifs (ils constitueraient ainsi moins de 2 % des modifications totales), il reste possible pour une personne mal intentionnée d'exploiter les informations qui rapportent un bug ou qui évoquent la mise au point de ces correctifs de sécurité avant qu'ils soient appliqués.

Plus de vulnérabilité ?

Ainsi, si l'on en croit les scientifiques, l'utilisation d'un programme automatique chargé de balayer quotidiennement les dépôts de sources pourrait permettre d'augmenter la fenêtre de vulnérabilité de 6 à 10 fois. Du coup, pour y remédier, l'équipe propose une solution, qui peut prêter à polémique.

Dissimuler une partie des correctifs à l'ensemble de la communauté

Celle de rendre moins visible une partie des correctifs à la communauté, tout du moins jusqu'à ce que le problème soit réglé et que les informations soient envoyées aux utilisateurs. Leur postulat serait ainsi, éventuellement, de stocker ces données au sein d'un cercle de testeurs dédiés et moins important que l'ensemble des utilisateurs et membres, chargés de résoudre les problèmes avant de les rendre complètement publics.