Durement frappé par la récente série de vulnérabilités critiques dans son lecteur Acrobat, Adobe annonce aujourd’hui un plan afin d’améliorer à la fois la sécurité de son code, sa communication avec ses utilisateurs et la publication de ses correctifs.

Le code d’abord : l’éditeur annonce utiliser depuis quelques années déjà une méthode de développement sécurisé baptisé Secure Product Lifecycle (SPLC), similaire au SDL promu par Microsoft. Mais cela ne concernait jusqu’à présent que les produits conçu depuis l’application de la méthode. Adobe a désormais entrepris d’appliquer les contrôles de son SPLC à tous ses produits, même les plus anciens. Et pour faire bonne mesure, de renforcer systématiquement la validation des entrées dans l’ensemble de ses produits.

La communication ensuite : l’éditeur veut renforcer, et formaliser, ses capacités de réaction aux incidents (incident response). Pour cela il vise une communication plus efficace (via son blog sécurité notamment), ainsi que des correctifs plus nombreux et développés plus rapidement.

Enfin, Adobe promet un cycle de publication trimestriel pour ses patches. Il se calera pour cela sur le « Path Tuesday » de Microsoft, afin que ses utilisateurs en entreprise soient en mesure de mutualiser les ressources et les processus déjà en place pour cette occasion.