A Veritas tem como compromisso resolver rápida e cuidadosamente as vulnerabilidades de segurança, o que resulta no lançamento de avisos de segurança e atualizações de produto necessárias para nossos clientes.
A Veritas segue as diretrizes de Divulgação Responsável desenvolvidas pela Organização para Segurança na Internet. Essas diretrizes incentivam a comunicação aberta entre localizadores e fornecedores, esclarecem as responsabilidades entre as partes e protegem indivíduos, empresas e a infraestrutura da Internet da exploração sempre que possível. Trabalhamos em estreita colaboração com pesquisadores que nos informam de vulnerabilidades, e damos crédito aos localizadores que seguem uma divulgação responsável.
Na Veritas, o gerenciamento de vulnerabilidades começa no desenvolvimento de produtos, onde usamos uma variedade de métodos de codificação seguros e ferramentas de análise para detectar e corrigir vulnerabilidades. No entanto, em alguns casos, não são detectados, ou novos tipos de explorações são projetadas após o lançamento de um produto, resultando em possíveis violações de segurança nos ambientes de nossos clientes.
A posição da Veritas é que somos responsáveis por divulgar vulnerabilidades de produtos aos nossos clientes, mas, em geral, nenhuma vulnerabilidade deve ser anunciada até que tenhamos desenvolvido e testado completamente uma atualização para ser disponibilizada aos clientes licenciados.
Como nossos produtos são complexos, inter-relacionados e usados em uma variedade de hardware em muitas configurações diferentes, a Veritas não pode fornecer atualizações de segurança de software de acordo com um cronograma definido. Cada problema requer investigação, resolução, localização e testes adequados à sua complexidade. As equipes de desenvolvimento agilizam as correções de segurança como defeitos críticos e muitas vezes trabalham 24 horas para fornecer uma correção perfeita se uma vulnerabilidade séria for encontrada.
As diretrizes de divulgação responsável sugerem que os clientes têm a obrigação de atualizar seus sistemas o mais rápido possível, e é costume esperar que as atualizações sejam concluídas dentro de 30 dias após o lançamento de uma atualização de segurança. Clientes devem estar cientes de que aqueles que exploram sistemas de segurança geralmente fazem isso por engenharia reversa de atualizações de segurança publicadas. Portanto, os clientes precisam realizar atualizações prontamente.
Pesquisadores de segurança responsáveis trabalham com a equipe da Veritas Product Security por meio do endereço de e-mail secure@veritas.com. Os localizadores responsáveis entendem que a segurança do cliente é fundamental, por isso trabalham conosco para garantir que a atualização esteja disponível — e que os clientes tenham tempo suficiente para implantar a atualização antes de discutir a vulnerabilidade em fóruns públicos ou liberar o código de exploração.
Durante o curso de seu trabalho, os funcionários da Veritas podem descobrir uma vulnerabilidade no produto de outro fornecedor. A Veritas seguirá as diretrizes de divulgação responsável para resolver a vulnerabilidade com o fornecedor envolvido. Nosso objetivo é ser um membro responsável e solidário da comunidade de pesquisa de segurança.