Oh la vache: l'US-CERT (un organisme chargé de collecter et diffuser les failles de sécurité informatiques, à l'image de notre CERTA français :
http://www.certa.ssi.gouv.fr/) a changé ses règles de disclosure.
Si le vendeur ne répond pas, la faille sera publiée dans les 45 jours après réception, QUE LE VENDEUR AIT PUBLIÉ DES CORRECTIFS OU NON. Et le délai n'est pas renégociable. Ça va bouger chez les vendeurs (Peut-être que ça incitera certain à ne pas laisser des failles ouvertes pendants des mois.)
(via
http://lamaredugof.fr/)