Selon un billet explicatif d’un développeur du noyau Linux, publié dans une série dédiée au processus CVE du noyau, l’équipe sécurité du kernel décrit sa philosophie et ses pratiques de traitement des vulnérabilités.

  • L’équipe sécurité du noyau Linux est une équipe de développeurs bénévoles et indépendants des entreprises qui traite de manière réactive les rapports de bugs de sécurité, vise des corrections rapides et les intègre immédiatement dans les branches publiques (mainline et stables) sans aucune annonce. L’équipe CVE est distincte et n’intervient qu’ensuite pour qualifier et attribuer un identifiant si nécessaire.

  • La soumission des rapports doit se faire par email texte brut uniquement (pas d’HTML, pas de pièces jointes binaires, pas de chiffrement en raison de la diffusion à un alias). Les mainteneurs des sous-systèmes concernés sont impliqués au besoin; un correctif fourni par le rapporteur est apprécié mais pas requis. Les embargos ne sont pas pratiqués, sauf exception et ≤ 7 jours lorsqu’un correctif est prêt, après quoi le commit est fusionné publiquement.

  • Philosophie clé: « un bug est un bug ». Reprenant un échange de 2008 avec Linus Torvalds, le marquage « sécurité » dans les commits est volontairement évité pour ne pas induire en erreur sur l’importance relative des autres correctifs. Les développeurs ne savent pas comment Linux est utilisé; l’impact d’un bug dépend du contexte (de critique à anodin). L’objectif est de corriger au plus vite les bugs connus, en assumant que d’éventuels problèmes ultérieurs seront corrigés à leur tour. Des exigences réglementaires (p. ex. CRA en Europe) renforcent cette logique de réactivité.

  • Cas à part: les problèmes de sécurité matériels (ex. Spectre, Meltdown) suivent une politique matérielle spécifique impliquant une liste restreinte chiffrée réunissant développeurs kernel et fabricants, avec embargo toléré. Ce processus est jugé lourd et lent, et pourrait évoluer, d’autant que les contraintes de délais (CRA) rendront les longs embargos difficiles.

  • Historique: en 2005, à la suite d’une discussion initiée par Steve Bergman, une adresse centrale pour signaler les bugs de sécurité a été créée et documentée (patch de Chris Wright ajoutant Documentation/SecurityBugs). L’équipe ne publie pas d’annonces, et aucune liste de pré-annonce n’existe (considérée par nature sujette aux fuites).

En synthèse, il s’agit d’une rétrospective/processus visant à clarifier le fonctionnement de l’équipe sécurité du noyau Linux et sa relation avec l’équipe CVE, notamment sur les annonces, les embargos et la philosophie de correction.

🔗 Source originale : http://www.kroah.com/log/blog/2026/01/02/linux-kernel-security-work/