從2005 年 1 月 18 日開始,Oracle 將計劃每季度提供重要補丁更新。通過 MetaLink 提供的這些全面的補丁將解決重大的安全漏洞,並包含客戶可能應用的修復程序或應用安全性修復程序的先決程序,或二者。
OTN: 為什麼 Oracle 要啟動每季度重要補丁更新?
Davidson:客戶告訴我們他們更喜歡定期、有計劃地為系統打補丁。在調查了各行業的眾多客戶之後,我們發現季度補丁更新計劃可以在及時發布補丁以防止嚴重的漏洞與過於頻繁地發布補丁以致客戶無法跟上之間達到合理的平衡。季度補丁更新使得客戶能夠更容易地計劃和管理維護過程,同時降低相關的成本。在給定的打補丁成本的情況下,一個補丁要好過許多一次性的補丁,後者可能導致沖突或者在應用到生產系統中之前需要多次測試。
OTN: 在 1 月 18 日的重要補丁更新中包含了哪些內容?
Davidson:2005 年 1 月 18 日發布的重要補丁更新包含了為 Oracle 數據庫、Oracle 應用服務器、Oracle 協作套件和 Oracle 電子商務套件中的安全漏洞提供的修復程序。這個綜合補丁還包含了客戶可能要應用的修復程序和/或安全性修復程序的先決修復程序。
OTN: 和重要補丁更新一起提供的新“風險矩陣”是什麼樣子的?
Davidson:2005 年 1 月的重要補丁更新引入了一個風險表作為客戶評估所解決漏洞的嚴重程度的一種方法。風險表列出了在重要補丁更新中修復的漏洞,並描述了它們的特性和范圍。它包含的其他信息包括每個漏洞對機密性、完整性和可用性的威脅、利用該漏洞所需的條件、受影響的產品組件等。該風險表為客戶提供信息來評估他們的系統所受的風險、分優先級應用系統補丁和執行有針對性的測試。
OTN: 重要補丁包括哪些漏洞?
Davidson:重要補丁更新解決 Oracle 內部資源發現的以及安全性研究社區發現的重大漏洞。並且,和通常一樣,Oracle 將同時通知所有客戶這些漏洞的存在。
OTN: 2005 年的更新計劃是什麼樣的,客戶將如何得到通知?
Davidson:重要補丁更新計劃在 2005 年最接近該月中旬的那個星期二向客戶發布:1 月 18 日、4 月 12 日和 10 月 18 日。Oracle 客戶將通過 MetaLink、OTN 安全警報頁面 和 Oracle 安全性 RSS 新聞提供得到重要補丁更新的通知。
“萬一發生計算機世界裡所謂的“迫在眉睫的身體傷害”,Oracle 將發布計劃之外的安全警告並發布補丁以供立即下載。”
OTN: 但當發生嚴重的問題時該怎麼辦?是否有 Oracle 將脫離計劃的情況存在?
Davidson: 萬一發生計算機世界裡所謂的“迫在眉睫的身體傷害” — 對我們的客戶的威脅非常嚴重並且緊迫,以至於我們不能等到下一次重要補丁更新的情況 — Oracle 將通過 MetaLink 發布計劃之外的安全警告,並將發布補丁以供立即下載。這些補丁還將包含在下一次季度重要補丁更新中。但對於大部分情況,重要補丁更新將是向前發布的過程。
OTN: 新的過程適用於哪些產品領域?
Davidson:重要補丁更新可能包含 Oracle 數據庫、Oracle 應用服務器、Oracle Enterprise Manager、Oracle 協作套件和 Oracle 電子商務套件的補丁。與一種產品系列特有的補丁集不同,重要補丁更新一般將包含所有產品系列的補丁。
OTN: PeopleSoft 的補丁過程怎麼樣?Oracle 如何處理 PeopleSoft 補丁?
Davidson:Oracle 目前正在審查 PeopleSoft 安全警報流程,並將決定在未來如何處理 PeopleSoft 產品線的補丁。
“Oracle 繼續尋求創新的方式來防止軟件開發中的安全缺陷。”
OTN: Oracle 將在重要補丁更新中向客戶提供哪些有關特定漏洞的詳細信息?
Davidson:在重要補丁更新中提供的信息旨在滿足客戶對與漏洞風險相關信息的需求,但不為黑客提供足夠的詳細信息,防止其輕松洞察如何利用漏洞。
OTN: Oracle 如何決定在重要補丁更新中包含哪些內容?
Davidson: Oracle 分析、記錄並根據嚴重性公式為每一個安全漏洞分配優先級,這個嚴重性公式考慮了許多因素,例如利用的容易程度、利用是否需要特殊的權限、漏洞的類型等。Oracle 為安全漏洞分配優先級,以確保被認為最重要的項目立即在下一次更新中提供。重要補丁更新還包括應用安全補丁自身的先決修復程序,以確保對大多數客戶不存在補丁沖突。
OTN: 如果客戶脫離了重要補丁更新計劃或者決定不實施給定的更新,那將怎麼樣?後續的更新是否將正常應用?
Davidson:重要補丁更新在補丁集之上應用。Oracle 在重要補丁更新中包含常見的先決補丁(指的是許多客戶要求的常見的一次性補丁,特別是向電子商務套件客戶推薦的補丁)。這意味著客戶僅需要應用重要補丁更新,大多數客戶不會遇到補丁沖突。Oracle 的重要補丁更新是從上一次補丁集累積的,因此只需要安裝最新的更新。例如,假定運行 Oracle 9.2.0.5 的客戶沒有應用 2005 年 1 月的更新。那麼通過應用 2005 年 4 月的更新(用於他們平台上的 Oracle 9.2.0.5),他們也將獲得 1 月份的重要補丁更新中的所有補丁。
OTN: 獨立軟件供應商 (ISV) 在重要補丁更新流程中扮演什麼樣的角色?
Davidson:目前,ISV 以和任何客戶一樣的方式得到通知。Oracle 正在考慮一個擴展計劃來幫助 ISV 更快地在重要補丁更新上認證它們的軟件。
OTN: Oracle 為防止未來的安全漏洞采取了什麼措施?
Davidson:Oracle 在繼續尋求創新的方式來防止軟件開發中的安全缺陷,並在產品交付之前修復這些漏洞。例如,我們已經執行了特別針對安全性的代碼審查,重點尋找和消除最常見的安全缺陷,並且我們利用了大量的源代碼掃描工具。我們還推出了關於安全的編碼實踐的一個綜合課程。
OTN: 客戶要擔心 Oracle 的安全性?
Davidson:Oracle 通過了 19 次獨立的安全性評估,它在保障產品開發的安全性以及市場領先的安全性特性和功能方面所做的努力一直無可比擬。Oracle 數據庫已經針對各種主要的全球性安全評估准則進行了 17 次評估,這表示我們投資了 1,700 多萬美元來“檢查”Oracle 的安全性;Oracle 應用服務器進行了 2 次安全性評估。並且 Oracle 用正式的安全開發流程、安全編碼標准、關於安全編碼實踐的全球培訓、每一個產品版本的安全合格性檢驗准則、以及由內部人員和挑選的外部機構執行的產品評估(黑客攻擊模擬)增強了這些安全措施。
OTN: 客戶是否需要注冊重要補丁更新過程?
Davidson:已經是 MetaLink 用戶的客戶就已經注冊了重要補丁更新;不需要任何操作。對於擁有 Oracle 許可的活動支持合約,但還沒有注冊 MetaLink 支持的客戶,您可以立即注冊 MetaLink 訪問。沒有活動支持合約的客戶將無法獲得補丁,需要和他們的客戶代表聯系。
