InterSystems 官方
· 17 hr 前

更新漏洞处理策略

在 InterSystems,我们相信负责任地披露最近发现的安全漏洞。我们向客户提供及时的信息,同时防止信息落入可能滥用信息的人之手。我们还了解每个客户在解决安全问题方面都有不同的要求。

从 2023 年开始,我们对安全漏洞修复方法进行了两项重大更改,我想强调一下:

  1. 安全漏洞补丁将包含在每个版本中
  2. 改进客户通知

每个版本中的安全漏洞补丁
现在,每个版本都可能包含针对安全漏洞的补丁,而不是等待在安全版本中提供补丁。我们改进的发布节奏将及时向现场提供补丁。

改进客户通知
中低影响项目(通常包括侦察攻击或跨站点脚本攻击等漏洞)将包含在每个版本中,并在产品发布说明中进行描述。

更高严重性项目的修复也将包含在每个版本中,因为它们已准备就绪,但有关修复的信息将被禁运,直到补丁包含在所有受支持的版本中。

当所有受支持的版本中都已修复这些问题时,将针对高严重性和严重性问题发布安全警报。

为什么 InterSystems 做出这些改变?
我们相信这些改进将:

  1. 更快地为我们的客户获取安全补丁
  2. 帮助专注于最严重的修复
  3. 在某些情况下,可以将安全修复程序作为补丁而不是完整的工具包提供
  4. 通过按安全影响对漏洞进行分组,提高安全漏洞管理方式的透明度
  5. 允许系统管理员根据他们的需要和要求应用更多修复

当然,随着维护版本和持续交付版本的概念,这个过程变得更加复杂。为了帮助客户了解他们何时以及如何获得安全修复,我们发布了包含更详细信息的漏洞处理政策

我期待到 2023 年,我们可以继续改善您与我们的安全和漏洞管理计划相关的体验。

讨论 (0)1
登录或注册以继续