ベリタスはセキュリティ脆弱性を迅速かつ綿密に解決することに注力しており、セキュリティアドバイザリやその他必要な製品アップデートをお客様に向けてリリースしています。
ベリタスは、Organization for Internet Safety が策定した「Responsible Disclosure (責任ある開示)」のガイドラインに準拠しています。これらのガイドラインは、脆弱性の発見者とベンダー間の開かれたコミュニケーションを促し、当事者間の責任を明確にして、個人、企業、インターネットインフラを攻撃から可能な限り保護することを目的としています。ベリタスは、脆弱性をベリタスに報告する研究者と緊密に連携し、責任ある開示に従う脆弱性の発見者に特典を提供します。
ベリタスでは、製品開発の段階から脆弱性管理を行い、多岐にわたる安全なコーディング手法と分析ツールを使用して脆弱性を検出し、修正しています。しかし、脆弱性が検出されない場合や、製品のリリース後に新たな種類の攻撃手法が開発されることがあります。このような場合は、お客様の環境でセキュリティ侵害が発生するおそれがあります。
ベリタスには、製品の脆弱性をお客様に開示する責任があります。しかし、一般に、更新プログラムを開発して徹底的にテストを行い、ライセンスをお持ちのお客様に提供できるようになるまで、脆弱性に関する情報が公開されることはありません。
ベリタスの製品は複雑で、相互に関連しており、多くの異なる構成に基づいてさまざまなハードウェア上で使用されます。このため、ソフトウェアセキュリティ更新プログラムを所定のスケジュールに沿って提供することができません。問題ごとに、その複雑さに応じた調査、解決、ローカライズ、テストが必要になります。開発チームは、セキュリティ修正を重大な欠陥と見なして迅速に対応します。深刻な脆弱性が見つかると、多くの場合 24 時間体制で適切なパッチの提供に取り組みます。
責任ある開示のガイドラインでは、お客様にはできる限り迅速にシステムを更新する義務があり、一般的に、セキュリティ更新プログラムのリリースから 30 日以内に更新処理を完了する必要があると述べられています。また、セキュリティシステムを侵害する方法として、公開されたセキュリティ更新プログラムをリバースエンジニアリングする場合が多いことにも注意が必要です。したがって、お客様は速やかに更新プログラムを適用する必要があります。
責任ある開示に従うセキュリティ研究者は、メールアドレス (secure@veritas.com) を使用してベリタスの製品セキュリティチームと連携しています。責任ある開示に従う脆弱性の発見者は、お客様のセキュリティが最優先であることを理解しており、ベリタスと協力して更新プログラムを確実に提供します。このため、脆弱性について公開フォーラムで議論したりエクスプロイトコードを公開したりする前に、お客様は更新プログラムを適用するための十分な時間を確保できます。
この取り組みの過程で、ベリタスの従業員が別のベンダーの製品の脆弱性を発見する場合があります。ベリタスは、責任ある開示のガイドラインに従い、関係するベンダーと連携して脆弱性に対処します。ベリタスの目標は、責任を持ってセキュリティ調査コミュニティを支えるメンバーになることです。