甲骨文计划在安全公告中增加有关缺陷严重等级的内容,减少客户对安全公告的猜测。
本周二晚些时候,甲骨文负责安全公告的高级经理Darius Wiles表示,从下周的的Critical Patch Update 开始,甲骨文将对修正的安全缺陷的严重程度进行评级。
Wiles 表示,另外,甲骨文的安全公告还将明确地指出哪个缺陷可以被匿名黑客远程利用,并提供每种产品的安全问题概要。Wiles 说,这将使客户更好地理解我们修正的缺陷给它们带来的危险。
甲骨文Critical Patch Update 的变化将降低按季度发布的升级包的神秘性。以前,甲骨文提供的升级包要求客户确定最严重的缺陷。多年来,微软等甲骨文的竞争对手一直向客户提供安全缺陷严重程度的评级。
在过去的二年中,甲骨文产品的安全受到了广泛批评,甲骨文决定在这方面进行重大的变革。甲骨文的安全事务总监已经开始写博客,甲骨文也开始向媒体、并在举办的会议上讨论安全问题。
甲骨文没有自己搞一套缺陷危险程度评级系统,而是采用了“通用缺陷评级系统”(CVSS)。CVSS呼吁企业采用统一的方法,而不是自己专有的方法对软件中缺陷进行评级。Wiles 说,我们没有搞一套自己的评估系统,而是采用了业已存在的开放系统。
在本月晚些时候的“甲骨文开放世界”大会上,甲骨文将讨论更多的安全问题。明年,甲骨文的首席执行官埃利森将在RSA Conference上发表主题演讲。