CNS Disclosure and Publication Policy v2 Ce règlement est applicable dès maintenant sur l'ensemble des productions CNS ou hébergées sur le domaine minithins.net. CNS soutient le mouvement full disclosure qui consiste au partage total et transparent des informations et ressources, en particulier dans l'univers de la sécurité informatique. Ce mouvement permet ainsi l'accès du savoir au plus grand nombre, évitant la répétition des erreurs et améliorant la qualité globale des services et logiciels. Le full disclosure est un acte fondamentalement libéral et démocratique. Le domaine d'application spécifique des parties prenantes dans ce document, à savoir la sécurité informatique nécessite cependant un comportement responsable incluant aussi bien le respect du droit d'auteur ou de la confidentialité. Il est donc définit dans ce document une ligne de conduite lors de la publication et la diffusion d'information au nom de CNS ou de la part d'un tiers sur le domaine minithins.net. En aucun cas CNS ou les tiers hébergés sur le domaine minithins.net n'encouragent la violation des lois en vigueur concernant la délinquance informatique, le respect de la vie privée et la confidentialité des communications. Toutes les données fournites ne le sont qu'à titre informatif. Ni CNS ni aucun des tiers hébergés sur le domaine minithins.net ne pourraient être tenu responsables d'éventuels dégâts causés par les informations diffusées. Toutes les productions réalisées, publiées, ou hébergées par CNS doivent être libres de droits quant à leur publication et leur redistribution. Cependant, chaque oeuvre garde son auteur d'origine de même que la licence particulière que cet auteur lui attribue. Ceci incluant donc les restrictions d'utilisation ou de distribution si nécessaire. En particulier : - L'ensemble des papers, documents et informations produits par CNS sont diffusables sans aucune restriction d'accès relatif aux compétences ou à la date. - L'ensemble des vulnérabilités ou proof-of-concept découverts ainsi que leur application logicielle, c'est-à-dire les exploits, doivent être communiqués au responsable du produit (software, hardware, protocole...) incriminé. Une participation à la fixation du problèmes est également possible mais même sans cela une reconnaissance doit être effectué par l'auteur du fix et par le responsable du produit vis à vis de l'auteur de la vulnérabilité ou de l'exploit. Cette catégorie de releases restera privée jusqu'à la sortie d'un fix - si nécessaire, dans le cas contraire il n'y a aucune restriction de diffusion - afin de limiter la fenêtre d'exposition à la vulnérabilité. Une fois la vulnérabilité théoriquement inopérante, les fichiers qui lui sont relatifs peuvent être délivré en copie publique. - L'ensemble des outils sont soumis aux restrictions de publication et distribution souhaitées par son auteur. Cependant, le principe dont il est tiré parti doit être documenté pour faciliter les recherches ou préventions lors de la release publique des ces outils.