10月12日國際報導 甲骨文計畫在安全公告中增加有關缺陷嚴重等級的內容,減少客戶對安全公告的猜測。
本週二晚些時候,甲骨文負責安全公告的高級經理Darius Wiles表示,從下周的的Critical Patch Update 開始,甲骨文將對修正的安全缺陷的嚴重程度進行評級。
Wiles 表示,另外,甲骨文的安全公告還將明確地指出哪個缺陷可以被匿名駭客遠端利用,並提供每種產品的安全問題概要。Wiles 说,这将使客户更好地理解我们修正的缺陷给它们带来的危险。
甲骨文Critical Patch Update 的变化将降低按季度发布的升级包的神秘性。以前,甲骨文提供的升级包要求客户确定最严重的缺陷。多年来,微软等甲骨文的竞争对手一直向客户提供安全缺陷严重程度的评级。
在过去的二年中,甲骨文产品的安全受到了广泛批评,甲骨文决定在这方面进行重大的变革。甲骨文的安全事务总监已经开始写博客,甲骨文也开始向媒体、并在举办的会议上讨论安全问题。
甲骨文没有自己搞一套缺陷危险程度评级系统,而是采用了“通用缺陷评级系统”(CVSS)。CVSS呼吁企业采用统一的方法,而不是自己专有的方法对软件中缺陷进行评级。Wiles 说,我们没有搞一套自己的评估系统,而是采用了业已存在的开放系统。
在本月晚些时候的“甲骨文开放世界”大会上,甲骨文将讨论更多的安全问题。明年,甲骨文的首席执行官埃利森将在RSA Conference上发表主题演讲。