Veritas se compromete a resolver las vulnerabilidades de seguridad de forma rápida y cuidadosa hasta culminar con el lanzamiento de un aviso de seguridad y las actualizaciones de productos necesarias para nuestros clientes.
Veritas cumple con las pautas de divulgación responsable desarrolladas por la Organización para la seguridad en Internet. Estas pautas fomentan la comunicación abierta entre buscadores y proveedores, aclaran las responsabilidades entre las partes y protegen a las personas, las empresas y la infraestructura de Internet de la explotación siempre que sea posible. Trabajamos en estrecha colaboración con investigadores que nos comunican las posibles vulnerabilidades y damos crédito a los buscadores que respetan la divulgación responsable.
En Veritas, la administración de vulnerabilidades comienza en el desarrollo de productos, donde utilizamos una variedad de métodos de codificación segura y herramientas de análisis para detectar y reparar vulnerabilidades. Sin embargo, en algunos casos no se detectan las vulnerabilidades, o bien se diseñan nuevos tipos de puntos vulnerables después de que lanzamos un producto, lo que da lugar a posibles brechas de seguridad en los entornos de nuestros clientes.
La posición de Veritas es que somos responsables de divulgar las vulnerabilidades de los productos a nuestros clientes, pero en general, no se debe anunciar ninguna vulnerabilidad hasta que hayamos desarrollado y probado exhaustivamente una actualización y la pongamos a disposición de los clientes con licencia.
Debido a que nuestros productos son complejos, están interrelacionados y se utilizan en una variedad de hardware con muchas configuraciones diferentes, Veritas no puede proporcionar actualizaciones de seguridad de software de acuerdo con un cronograma establecido. Cada problema requiere investigación, resolución, localización y pruebas adecuadas según su complejidad. Los equipos de desarrollo aceleran las reparaciones de seguridad como defectos críticos y, a menudo, trabajarán las 24 horas para ofrecer un parche sólido si se encuentra una vulnerabilidad grave.
Las pautas de divulgación responsable sugieren que los clientes tienen la obligación de actualizar sus sistemas lo antes posible, y es habitual que las actualizaciones se completen dentro de los 30 días posteriores a la publicación de una actualización de seguridad. Los clientes deben tener en cuenta que quienes vulneran los sistemas de seguridad a menudo lo hacen mediante ingeniería inversa de las actualizaciones de seguridad publicadas. Por lo tanto, los clientes deben actualizarse rápidamente.
Los investigadores de seguridad responsables trabajan con el equipo de seguridad de productos de Veritas a través de la dirección de correo electrónico secure@veritas.com. Los buscadores responsables entienden que la seguridad del cliente es primordial, por lo que trabajan con nosotros para asegurarse de que la actualización esté disponible y que los clientes hayan tenido el tiempo suficiente para implementar la actualización antes de discutir la vulnerabilidad en foros públicos o publicar código de desprotección.
Durante el transcurso de su trabajo, los empleados de Veritas pueden detectar una vulnerabilidad en el producto de otro proveedor. Veritas seguirá las pautas de divulgación responsable para resolver la vulnerabilidad con el proveedor involucrado. Nuestro objetivo es ser un miembro solidario y responsable de la comunidad de investigación de seguridad.