Divulgation responsable

Divulgation responsable est un terme de sécurité informatique décrivant un modèle de divulgation de vulnérabilité informatique. La divulgation responsable est semblable à une divulgation complète, avec l'ajout que toutes les parties prenantes acceptent de laisser un délai avant la divulgation pour que la vulnérabilité soit corrigée avant sa divulgation. Les développeurs de matériel informatique et de logiciels ont souvent besoin de temps et de ressources pour réparer des erreurs découvertes dans leurs produits. En revanche, les hackers grey hat et les spécialistes de la sécurité informatique considèrent qu'il est de leur responsabilité sociale de sensibiliser le public aux vulnérabilités ayant un fort impact, car cacher ces problèmes engendre un sentiment de fausse sécurité. Pour satisfaire les deux parties prenantes, les développeurs et les découvreurs de vulnérabilité échangent des informations et s'entendent sur une période de temps pour réparer la vulnérabilité et prévenir tout dommage futur. Selon l'impact potentiel de la vulnérabilité, le temps prévu pour une solution d'urgence ou une solution de contournement peut varier entre quelques jours et plusieurs mois. La divulgation responsable ne permet pas de satisfaire les chercheurs en sécurité qui s'attendent à être compensés financièrement pour la découverte d'une vulnérabilité, car l'attente d'une compensation lors du signalement d'une vulnérabilité à un fournisseur peut être considérée comme une extorsion. Alors qu'un marché des vulnérabilités s'est développé, la commercialisation des vulnérabilités reste un sujet très sensible et controversé. Aujourd'hui, les deux principaux acteurs du marché commercial de la vulnérabilité sont iDefense, qui a lancé son programme de Contributeur de vulnérabilité (plus connu sous le nom anglais de Vulnerability contributor program ou VCP) en 2003, et , avec son Initiative vulnérabilité Zero day (plus connu sous le nom anglais de Zero-day initiative ou ZDI), commencée en 2005.