从2005 年 1 月 18 日开始,Oracle 将计划每季度提供重要补丁更新。通过 MetaLink 提供的这些全面的补丁将解决重大的安全漏洞,并包含客户可能应用的修复程序或应用安全性修复程序的先决程序,或二者。
OTN: 为什么 Oracle 要启动每季度重要补丁更新?
Davidson:客户告诉我们他们更喜欢定期、有计划地为系统打补丁。在调查了各行业的众多客户之后,我们发现季度补丁更新计划可以在及时发布补丁以防止严重的漏洞与过于频繁地发布补丁以致客户无法跟上之间达到合理的平衡。季度补丁更新使得客户能够更容易地计划和管理维护过程,同时降低相关的成本。在给定的打补丁成本的情况下,一个补丁要好过许多一次性的补丁,后者可能导致冲突或者在应用到生产系统中之前需要多次测试。
OTN: 在 1 月 18 日的重要补丁更新中包含了哪些内容?
Davidson:2005 年 1 月 18 日发布的重要补丁更新包含了为 Oracle 数据库、Oracle 应用服务器、Oracle 协作套件和 Oracle 电子商务套件中的安全漏洞提供的修复程序。这个综合补丁还包含了客户可能要应用的修复程序和/或安全性修复程序的先决修复程序。
OTN: 和重要补丁更新一起提供的新“风险矩阵”是什么样子的?
Davidson:2005 年 1 月的重要补丁更新引入了一个风险表作为客户评估所解决漏洞的严重程度的一种方法。风险表列出了在重要补丁更新中修复的漏洞,并描述了它们的特性和范围。它包含的其他信息包括每个漏洞对机密性、完整性和可用性的威胁、利用该漏洞所需的条件、受影响的产品组件等。该风险表为客户提供信息来评估他们的系统所受的风险、分优先级应用系统补丁和执行有针对性的测试。
OTN: 重要补丁包括哪些漏洞?
Davidson:重要补丁更新解决 Oracle 内部资源发现的以及安全性研究社区发现的重大漏洞。并且,和通常一样,Oracle 将同时通知所有客户这些漏洞的存在。
OTN: 2005 年的更新计划是什么样的,客户将如何得到通知?
Davidson:重要补丁更新计划在 2005 年最接近该月中旬的那个星期二向客户发布:1 月 18 日、4 月 12 日和 10 月 18 日。Oracle 客户将通过 MetaLink、OTN 安全警报页面 和 Oracle 安全性 RSS 新闻提供得到重要补丁更新的通知。
“万一发生计算机世界里所谓的“迫在眉睫的身体伤害”,Oracle 将发布计划之外的安全警告并发布补丁以供立即下载。”
OTN: 但当发生严重的问题时该怎么办?是否有 Oracle 将脱离计划的情况存在?
Davidson: 万一发生计算机世界里所谓的“迫在眉睫的身体伤害” ― 对我们的客户的威胁非常严重并且紧迫,以至于我们不能等到下一次重要补丁更新的情况 ― Oracle 将通过 MetaLink 发布计划之外的安全警告,并将发布补丁以供立即下载。这些补丁还将包含在下一次季度重要补丁更新中。但对于大部分情况,重要补丁更新将是向前发布的过程。
OTN: 新的过程适用于哪些产品领域?
Davidson:重要补丁更新可能包含 Oracle 数据库、Oracle 应用服务器、Oracle Enterprise Manager、Oracle 协作套件和 Oracle 电子商务套件的补丁。与一种产品系列特有的补丁集不同,重要补丁更新一般将包含所有产品系列的补丁。
OTN: PeopleSoft 的补丁过程怎么样?Oracle 如何处理 PeopleSoft 补丁?
Davidson:Oracle 目前正在审查 PeopleSoft 安全警报流程,并将决定在未来如何处理 PeopleSoft 产品线的补丁。
“Oracle 继续寻求创新的方式来防止软件开发中的安全缺陷。”
OTN: Oracle 将在重要补丁更新中向客户提供哪些有关特定漏洞的详细信息?
Davidson:在重要补丁更新中提供的信息旨在满足客户对与漏洞风险相关信息的需求,但不为黑客提供足够的详细信息,防止其轻松洞察如何利用漏洞。
OTN: Oracle 如何决定在重要补丁更新中包含哪些内容?
Davidson: Oracle 分析、记录并根据严重性公式为每一个安全漏洞分配优先级,这个严重性公式考虑了许多因素,例如利用的容易程度、利用是否需要特殊的权限、漏洞的类型等。Oracle 为安全漏洞分配优先级,以确保被认为最重要的项目立即在下一次更新中提供。重要补丁更新还包括应用安全补丁自身的先决修复程序,以确保对大多数客户不存在补丁冲突。
OTN: 如果客户脱离了重要补丁更新计划或者决定不实施给定的更新,那将怎么样?后续的更新是否将正常应用?
Davidson:重要补丁更新在补丁集之上应用。Oracle 在重要补丁更新中包含常见的先决补丁(指的是许多客户要求的常见的一次性补丁,特别是向电子商务套件客户推荐的补丁)。这意味着客户仅需要应用重要补丁更新,大多数客户不会遇到补丁冲突。Oracle 的重要补丁更新是从上一次补丁集累积的,因此只需要安装最新的更新。例如,假定运行 Oracle 9.2.0.5 的客户没有应用 2005 年 1 月的更新。那么通过应用 2005 年 4 月的更新(用于他们平台上的 Oracle 9.2.0.5),他们也将获得 1 月份的重要补丁更新中的所有补丁。
OTN: 独立软件供应商 (ISV) 在重要补丁更新流程中扮演什么样的角色?
Davidson:目前,ISV 以和任何客户一样的方式得到通知。Oracle 正在考虑一个扩展计划来帮助 ISV 更快地在重要补丁更新上认证它们的软件。
OTN: Oracle 为防止未来的安全漏洞采取了什么措施?
Davidson:Oracle 在继续寻求创新的方式来防止软件开发中的安全缺陷,并在产品交付之前修复这些漏洞。例如,我们已经执行了特别针对安全性的代码审查,重点寻找和消除最常见的安全缺陷,并且我们利用了大量的源代码扫描工具。我们还推出了关于安全的编码实践的一个综合课程。
OTN: 客户要担心 Oracle 的安全性?
Davidson:Oracle 通过了 19 次独立的安全性评估,它在保障产品开发的安全性以及市场领先的安全性特性和功能方面所做的努力一直无可比拟。Oracle 数据库已经针对各种主要的全球性安全评估准则进行了 17 次评估,这表示我们投资了 1,700 多万美元来“检查”Oracle 的安全性;Oracle 应用服务器进行了 2 次安全性评估。并且 Oracle 用正式的安全开发流程、安全编码标准、关于安全编码实践的全球培训、每一个产品版本的安全合格性检验准则、以及由内部人员和挑选的外部机构执行的产品评估(黑客攻击模拟)增强了这些安全措施。
OTN: 客户是否需要注册重要补丁更新过程?
Davidson:已经是 MetaLink 用户的客户就已经注册了重要补丁更新;不需要任何操作。对于拥有 Oracle 许可的活动支持合约,但还没有注册 MetaLink 支持的客户,您可以立即注册 MetaLink 访问。没有活动支持合约的客户将无法获得补丁,需要和他们的客户代表联系。