Veritas s'efforce de résoudre les vulnérabilités de sécurité avec beaucoup d'attention et dans les plus brefs délais, notamment avec la mise à disposition d'avis de sécurité et de mise à jours de produits requises pour nos clients.
Veritas suit les directives en matière de divulgation responsable développées par l'Organization for Internet Safety. Ces directives encouragent une communication transparente entre les personnes à l'origine des découvertes et les fournisseurs, clarifient les responsabilités de chaque partie et protègent les individus, les entreprises et les infrastructures Internet contre l'exploitation, dans la mesure du possible. Nous travaillons en étroite collaboration avec les chercheurs qui nous signalent des vulnérabilités et nous accordons du crédit aux chercheurs qui appliquent des principes de divulgation responsable.
Chez Veritas, la gestion des vulnérabilités commence lors du développement du produit, lors duquel nous utilisons différentes méthodes de codage sécurisées et des outils d'analyse pour détecter les vulnérabilités et y remédier. Cependant, certaines vulnérabilités ne sont parfois pas détectées ou de nouveaux types d'attaque sont développés après le lancement d'un produit, ce qui peut entraîner des failles de sécurité potentielles dans les environnements de nos clients.
Veritas est responsable de la divulgation des vulnérabilités des produits à ses clients, mais en général, aucune vulnérabilité ne doit être annoncée avant que nous ayons développé et testé de manière approfondie une mise à jour et que nous l'ayons mise à la disposition de nos clients sous licence.
Les produits de Veritas sont complexes, interdépendants et utilisent différents matériels dans de nombreuses configurations, nous ne pouvons donc pas fournir des mises à jour de sécurité logicielles selon un calendrier établi. Chaque problème nécessite une analyse, une localisation, une résolution et des tests adaptés à sa complexité. Les équipes de développement traitent les correctifs de sécurité en tant que défauts critiques et travaillent d'arrache-pied pour fournir rapidement un correctif solide si une vulnérabilité sérieuse est détectée.
Les directives en matière de divulgation responsable suggèrent que les clients ont l'obligation de mettre à jour leurs systèmes aussi rapidement que possible et qu'il est d'usage de s'attendre à ce que les mises à jour de sécurité soient effectuées dans les 30 jours suivant leur mise à disposition. Les clients doivent savoir que les personnes qui exploitent les systèmes de sécurité le font souvent en effectuant des rétroconceptions à partir de mises à jour de sécurité publiées. Les clients doivent donc rapidement effectuer les mises à jour.
Des chercheurs de failles de sécurité responsables travaillent avec l'équipe de sécurité des produits Veritas via l'adresse électronique secure@veritas.com. Les chercheurs responsables comprennent que la sécurité du client est primordiale, ils travaillent donc avec nous pour s'assurer que la mise à jour est disponible et que les clients ont eu le temps nécessaire pour déployer la mise à jour avant de discuter de la vulnérabilité sur des forums publics ou de publier le code exploitant une faille.
Dans le cadre de leur travail, les employés de Veritas peuvent découvrir une vulnérabilité dans un produit d'un autre fournisseur. Veritas suivra les directives en matière de divulgation responsable pour corriger la vulnérabilité avec le fournisseur concerné. Nous souhaitons être un membre responsable et solidaire de la communauté de recherche en matière de sécurité.