Veritas 致力于快速周密解决安全漏洞,最后会提供一份安全建议,列出客户需要进行的产品更新。
Veritas 遵守为因特网安全组织 (Organization for Internet Safety,OIS)制定的“负责任披露准则”。这些准则鼓励发现者和供应商之间坦诚交流,澄清双方之间的责任,尽可能全面保护个人、企业以及互联网基础架构,避免遭到漏洞利用。我们与向我们报告漏洞的研究人员密切合作,并诚心感谢遵循负责任披露准则的发现者。
Veritas 的漏洞管理始于产品开发,我们在此采用各种安全编码方法和分析工具来检测和修复漏洞。不过,有些漏洞可能无法检测到,或新型的漏洞利用在我们产品发布之后出现,造成我们客户环境可能出现安全缺口。
Veritas 的立场是,我们负责向客户披露产品漏洞,但我们往往要等到开发出更新版产品,并对更新版产品进行全面测试然后供授权客户使用后才会公布漏洞。
由于产品的复杂性、关联性而且部署于不同配置下的多种硬件上,因此 Veritas 无法在规定的时间截点前提供软件安全更新。每个问题都要根据其复杂程度,经过调查、解决、本地化和测试几个阶段。开发团队将安全问题视为严重缺陷,因此在发现严重的安全漏洞后,往往夜以继日地工作以交付完善的修补程序。
负责任披露准则明确建议客户尽快更新系统,而且最好是在发布安全更新后的 30 天内完成更新。客户应注意,利用安全系统漏洞的攻击者往往会对发布的安全更新进行逆向工程设计。因此,客户应迅速更新。
参与负责任披露计划的安全研究人员可通过 secure@veritas.com 邮件与 Veritas 产品安全团队合作。参与负责任披露计划的漏洞发现者深切明白客户的安全至关重要,因此他们会积极配合我们推出更新,并在公共论坛讨论漏洞或发布漏洞代码前,留给客户足够的时间来部署更新。
在工作过程中,Veritas 员工有可能会发现其他供应商产品中的漏洞。Veritas 将遵守负责任披露准则,携手所涉供应商共同解决漏洞。我们的目标是成为安全研究团体的负责任成员和拥护者。