Nous sommes heureux d’annoncer que Devolutions a été reconnu par le programme CVE (de l’anglais Common Vulnerabilities and Exposures) en tant qu'autorité de numérotation CVE (CNA). C’est une étape de plus dans notre processus de divulgation des vulnérabilités, ainsi que dans la transparence sur le plan de la sécurité de nos produits.
À propos des CNA
Les CNA (CVE Numbering Authorities) sont présentes dans le monde entier. Le rôle de ces organisations est d'attribuer des identifiants CVE aux vulnérabilités et de publier des informations sur celles-ci dans les registres CVE qui y sont associés. Chaque organisation CNA a des responsabilités spécifiques dans l'identification et la publication des vulnérabilités. Par exemple, Devolutions est responsable des vulnérabilités de Remote Desktop Manager et Devolutions Server.
Qu'est-ce qu’un enregistrement CVE?
Le programme CVE est un effort commun et international qui repose sur les membres de la communauté pour découvrir et divulguer les vulnérabilités. Chaque vulnérabilité est attribuée et publiée dans la liste CVE en tant qu'enregistrement CVE. De cette façon, la communauté peut se référer aux vulnérabilités de manière standardisée, ce qui permet d’importantes économies de temps et d'argent. D’ailleurs, nous avons publié notre première ronde d'avis de sécurité CVE plus tôt cette année.
Qu’est-ce que ça change pour les clients de Devolutions?
Être un CNA nous permet de travailler directement avec les chercheurs en sécurité pour fournir les identifiants CVE et nous assurer que les vulnérabilités signalées soient publiées au bon moment, lorsque le correctif approprié est disponible. Le programme CNA est encadré par des règles strictes que Devolutions et toutes autres autorités de numérotation CNA doivent suivre. Pour éviter des abus potentiels, les chercheurs en sécurité peuvent même contester la décision d'un fournisseur sur un enregistrement CVE. Tout ça existe dans le but de renforcer la confiance des clients par une plus grande transparence et une diligence raisonnable en matière de sécurité. Ça garantit aussi que ce sont des informations fiables et appropriées qui sont rendues publiques.
Pour terminer
Je m'attends, en tant que consommateur, à ce que tous les fournisseurs empruntent une voie similaire pour mieux protéger leurs clients. Je suis fier de faire partie d'une entreprise transparente par rapport à ses pratiques de sécurité. La gestion et la communication des vulnérabilités des produits doivent être au cœur de l'assurance qualité de chaque fournisseur de logiciels. Et la prochaine étape de cet engagement de grande envergure? Devenir partenaire du programme CNA.