日期:2013-03-24 浏览次数:20475 次
从2005 年 1 月 18 日开始,Oracle 将计划每季度提供重要补丁更新。通过 MetaLink 提供的这些全面的补丁将处理严重的安全漏洞,并包含客户可能使用的修复程序或使用安全性修复程序的先决程序,或二者。
OTN: 为什么 Oracle 要启动每季度重要补丁更新?
Davidson:客户通知我们他们更喜欢定期、有计划地为系统打补丁。在调查了各行业的众多客户之后,我们发现季度补丁更新计划可以在及时发布补丁以防止严重的漏洞与过于频繁地发布补丁致使客户无法跟上之间达到合理的平衡。季度补丁更新使得客户能够更容易地计划和管理维护过程,同时降低相关的成本。在给定的打补丁成本的情况下,一个补丁要好过许多一次性的补丁,后者可能导致冲突或者在使用到生产系统中之前需求多次测试。
OTN: 在 1 月 18 日的重要补丁更新中包含了哪些内容?
Davidson:2005 年 1 月 18 日发布的重要补丁更新包含了为 Oracle 数据库、Oracle 使用服务器、Oracle 协作套件和 Oracle 电子商务套件中的安全漏洞提供的修复程序。这个综合补丁还包含了客户可能要使用的修复程序和/或安全性修复程序的先决修复程序。
OTN: 和重要补丁更新一同提供的新“风险矩阵”是什么样子的?
Davidson:2005 年 1 月的重要补丁更新引入了一个风险表作为客户评估所处理漏洞的严重程度的一种方法。风险表列出了在重要补丁更新中修复的漏洞,并描述了它们的特性和范围。它包含的其他信息包括每个漏洞对机密性、完整性和可用性的要挟、利用该漏洞所需的条件、受影响的产品组件等。该风险表为客户提供信息来评估他们的系统所受的风险、分优先级使用系统补丁和执行有针对性的测试。
OTN: 重要补丁包括哪些漏洞?
Davidson:重要补丁更新处理 Oracle 内部资源发现的以及安全性研讨社区发现的严重漏洞。并且,和通常一样,Oracle 将同时通知所有客户这些漏洞的存在。
OTN: 2005 年的更新计划是什么样的,客户将如何得到通知?
Davidson:重要补丁更新计划在 2005 年最接近该月中旬的那个星期二向客户发布:1 月 18 日、4 月 12 日和 10 月 18 日。Oracle 客户将通过 MetaLink、OTN 安全警报页面 和 Oracle 安全性 RSS 旧事提供得到重要补丁更新的通知。
“万一发生计算机世界里所谓的“迫在眉睫的身体伤害”,Oracle 将发布计划之外的安全警告并发布补丁以供立即下载。”
OTN: 但当发生严重的问题时该怎样办?能否有 Oracle 将脱离计划的情况存在?
Davidson: 万一发生计算机世界里所谓的“迫在眉睫的身体伤害” — 对我们的客户的要挟非常严重并且紧迫,以致于我们不能等到下一次重要补丁更新的情况 — Oracle 将通过 MetaLink 发布计划之外的安全警告,并将发布补丁以供立即下载。这些补丁还将包含在下一次季度重要补丁更新中。但对于大部分情况,重要补丁更新将是向前发布的过程。
OTN: 新的过程适用于哪些产品领域?
Davidson:重要补丁更新可能包含 Oracle 数据库、Oracle 使用服务器、Oracle Enterprise Manager、Oracle 协作套件和 Oracle 电子商务套件的补丁。与一种产品系列特有的补丁集不同,重要补丁更新普通将包含所有产品系列的补丁。
OTN: PeopleSoft 的补丁过程怎样样?Oracle 如何处理 PeopleSoft 补丁?
Davidson:Oracle 目前正在审查 PeopleSoft 安全警报流程,并将决定在未来如何处理 PeopleSoft 产品线的补丁。
“Oracle 继续寻求创新的方式来防止软件开发中的安全缺陷。”
OTN: Oracle 将在重要补丁更新中向客户提供哪些有关特定漏洞的详细信息?
Davidson:在重要补丁更新中提供的信息旨在满足客户对与漏洞风险相关信息的需求,但不为黑客提供足够的详细信息,防止其轻松洞察如何利用漏洞。
OTN: Oracle 如何决定在重要补丁更新中包含哪些内容?
Davidson: Oracle 分析、记录并依据严重性公式为每一个安全漏洞分配优先级,这个严重性公式考虑了许多要素,例如利用的容易程度、利用能否需求特殊的权限、漏洞的类型等。Oracle 为安全漏洞分配优先级,以确保被认为最重要的项目立即在下一次更新中提供。重要补丁更新还包括使用安全补丁本身的先决修复程序,以确保对大多数客户不存在补丁冲突。
OTN: 如果客户脱离了重要补丁更新计划或者决定不实施给定的更新,那将怎样样?后续的更新能否将正常使用?
Davidson:重要补丁更新在补丁集之上使用。Oracle 在重要补丁更新中包含常见的先决补丁(指的是许多客户要求的常见的一次性补丁,特别是向电子商务套件客户推荐的补丁)。这意味着客户仅需求使用重要补丁更新,大多数客户不会遇到补丁冲突。Oracle 的重要补丁更新是从上一次补丁集累积的,因此只需求安装最新的更新。例如,假定运转 Oracle 9.2.0.5 的客户没有使用 2005 年 1 月的更新。那么通过使用 2005 年 4 月的更新(用于他们平台上的 Oracle 9.2.0.5),他们也将获得 1 月份的重要补丁更新中的所有补丁。
OTN: 独立软件供应商 (ISV) 在重要补丁更新流程中扮演什么样的角色?
Davidson:目前,ISV 以和任何客户一样的方式得到通知。Oracle 正在考虑一个扩展计划来协助 ISV 更快地在重要补丁更新上认证它们的软件。
OTN: Oracle 为防止未来的安全漏洞采取了什么措施?