Les rapports de vulnérabilité ne sont plus spéciaux

Traditionnellement, les mainteneurs de projets open source accordent un traitement spécial aux rapports de vulnérabilité provenant de chercheurs en sécurité. Cette pratique repose sur l'idée que ces chercheurs fournissent un service précieux en signalant confidentiellement les failles plutôt que de faire une divulgation publique. En échange, les mainteneurs s'engagent à répondre rapidement, enquêter, tenir le rapporteur informé et lui attribuer le crédit de la découverte. Valsorda explique que cette obligation découle de la responsabilité envers les utilisateurs : ignorer un rapport de sécurité signale un manque de souci pour la sécurité des utilisateurs. Cependant, il soutient que ces prémisses ne sont plus valables en 2026. Les modèles de langage (LLM) peuvent maintenant identifier les vulnérabilités presque aussi bien que n'importe quel chercheur humain, et n'importe qui peut les utiliser. Le véritable goulot d'étranglement n'est plus de trouver des failles potentielles, mais d'évaluer lesquelles sont réelles. De plus, les chercheurs externes ne peuvent pas contribuer de manière significative à ce processus de triage sans relation de confiance établie. La confidentialité et les embargos ont également perdu de leur importance, car les attaquants peuvent utiliser leurs propres LLM pour découvrir les vulnérabilités sans attendre la divulgation complète. Valsorda conclut que l'ère où les rapports de vulnérabilité bénéficiaient d'un traitement spécial pourrait être terminée, ce qui amène la communauté à réfléchir sur la manière d'intégrer l'analyse par LLM dans les processus d'intégration continue.