甲骨文安全公告增加缺陷危險度走開放之路

10月12日國際報導 甲骨文計畫在安全公告中增加有關缺陷嚴重等級的內容,減少客戶對安全公告的猜測。

  本週二晚些時候,甲骨文負責安全公告的高級經理Darius Wiles表示,從下周的的Critical Patch Update 開始,甲骨文將對修正的安全缺陷的嚴重程度進行評級。  

  Wiles 表示,另外,甲骨文的安全公告還將明確地指出哪個缺陷可以被匿名駭客遠端利用,並提供每種產品的安全問題概要。Wiles 說,這將使客戶更好地理解我們修正的缺陷給它們帶來的危險。

  甲骨文Critical Patch Update 的變化將降低按季度發佈的升級包的神秘性。以前,甲骨文提供的升級包要求客戶確定最嚴重的缺陷。多年來,微軟等甲骨文的競爭對手一直向客戶提供安全缺陷嚴重程度的評級。

  在過去的二年中,甲骨文產品的安全受到了廣泛批評,甲骨文決定在這方面進行重大的變革。甲骨文的安全事務總監已經開始寫博客,甲骨文也開始向媒體、並在舉辦的會議上討論安全問題。

  甲骨文沒有自己搞一套缺陷危險程度評級系統,而是採用了“通用缺陷評級系統”(CVSS)。CVSS呼籲企業採用統一的方法,而不是自己專有的方法對軟體中缺陷進行評級。Wiles 說,我們沒有搞一套自己的評估系統,而是採用了業已存在的開放系統。

  在本月晚些時候的“甲骨文開放世界”大會上,甲骨文將討論更多的安全問題。明年,甲骨文的首席執行官埃利森將在RSA Conference上發表主題演講。

更多文章