更新漏洞处理策略

在 InterSystems，我们相信负责任地披露最近发现的安全漏洞。我们向客户提供及时的信息，同时防止信息落入可能滥用信息的人之手。我们还了解每个客户在解决安全问题方面都有不同的要求。

从 2023 年开始，我们对安全漏洞修复方法进行了两项重大更改，我想强调一下：

1. 安全漏洞补丁将包含在每个版本中
2. 改进客户通知

每个版本中的安全漏洞补丁
现在，每个版本都可能包含针对安全漏洞的补丁，而不是等待在安全版本中提供补丁。我们改进的发布节奏将及时向现场提供补丁。

改进客户通知
中低影响项目（通常包括侦察攻击或跨站点脚本攻击等漏洞）将包含在每个版本中，并在产品发布说明中进行描述。

更高严重性项目的修复也将包含在每个版本中，因为它们已准备就绪，但有关修复的信息将被禁运，直到补丁包含在所有受支持的版本中。

当所有受支持的版本中都已修复这些问题时，将针对高严重性和严重性问题发布安全警报。

为什么 InterSystems 做出这些改变？
我们相信这些改进将：

1. 更快地为我们的客户获取安全补丁
2. 帮助专注于最严重的修复
3. 在某些情况下，可以将安全修复程序作为补丁而不是完整的工具包提供
4. 通过按安全影响对漏洞进行分组，提高安全漏洞管理方式的透明度
5. 允许系统管理员根据他们的需要和要求应用更多修复

当然，随着维护版本和持续交付版本的概念，这个过程变得更加复杂。为了帮助客户了解他们何时以及如何获得安全修复，我们发布了包含更详细信息的漏洞处理政策。

我期待到 2023 年，我们可以继续改善您与我们的安全和漏洞管理计划相关的体验。