베리타스는 보안 취약점을 신속하고 신중하게 처리하여 고객을 위한 보안 권고 사항 릴리스 및 기타 필수 제품 업데이트가 수행될 수 있도록 합니다.
베리타스는 인터넷 안전을 위한 조직(Organization for Internet Safety)의 책임 있는 정보 공개 지침을 따릅니다. 이러한 지침을 통해 발견자와 벤더 간에 열린 소통을 장려하고 당사자 간 책임을 명확하게 정의하며 가능한 경우 개인 사용자, 기업, 인터넷 인프라스트럭처를 익스플로잇으로부터 보호합니다. 베리타스는 당사에 취약점을 보고하는 연구원들과 긴밀하게 협력하며, 책임 있는 공개 원칙을 준수하는 발견자들을 신임합니다.
베리타스의 취약점 관리는 제품 개발 단계부터 시작되며, 이 단계에서는 보안 코딩 메서드 및 분석 툴을 사용하여 취약점을 탐지하고 수정합니다. 하지만 일부 사례가 탐지되지 않거나 제품 출시 이후에 새로운 익스플로잇 유형이 개발되면서 고객 환경에 보안 위반이 발생할 가능성이 있습니다.
베리타스는 고객에게 제품 취약점을 공개할 책임이 있으며, 일반적으로 이러한 취약점은 업데이트 개발 후 철저한 테스트를 거쳐 라이센스 고객에게 제공된 후에 발표됩니다.
베리타스 제품은 복잡하고 상호 연관성을 가지며 다양한 구성의 여러 하드웨어에서 사용되므로 정해진 일정에 따라 소프트웨어 보안 업데이트를 제공하지 못할 수 있습니다. 각각의 문제에는 조사, 해결, 현지화가 필요하며 관련 복잡성에 적합한 테스트가 필요합니다. 개발 팀은 이를 중요한 결함으로 간주하여 신속하게 보안 수정 프로그램을 개발하며 심각한 취약점이 발견되면 연중무휴 24시간 내내 사운드 패치를 전달하는 작업을 수행합니다.
책임 있는 공개 지침에 따르면, 고객은 가능한 빨리 시스템을 업데이트할 의무가 있으며 베리타스가 보안 업데이트를 출시한 후 30일 이내에 업데이트를 완료해야 합니다. 고객은 사람들이 종종 공개된 보안 업데이트를 리버스 엔지니어링하는 방식으로 보안 시스템을 익스플로잇한다는 사실을 알아야 합니다. 따라서 고객은 신속하게 업데이트를 수행해야 합니다.
책임 있는 보안 연구원은 이메일 주소, secure@veritas.com을 통해 베리타스 소프트웨어 보안 팀과 협력할 수 있습니다. 책임 있는 발견자는 고객의 보안이 가장 중요하다는 사실을 알고 있으므로 베리타스와 협력하여 업데이트 가능 여부를 확인합니다. 고객에게는 공개 포럼에서 취약점에 대해 논의하거나 잇스플로잇 코드를 발표하기 전에 업데이트를 구축할 수 있는 충분한 시간이 주어집니다.
베리타스 직원은 업무 중에 다른 벤더의 제품에서 취약점을 발견할 수 있습니다. 이 경우 베리타스는 책임 있는 공개 지침을 따라 관련 벤더의 취약점 문제를 해결합니다. 베리타스의 목표는 보안 연구 커뮤니티의 협조적이고 책임 있는 구성원이 되는 것입니다.