InterSystems Official
· 10 feb, 2023

Actualización de la Política de Gestión de la Vulnerabilidad

En InterSystems creemos en la divulgación responsable de vulnerabilidades de seguridad descubiertas recientemente. Ofrecemos información oportuna a nuestros clientes, a la vez que la mantenemos fuera del alcance de las personas que puedan hacer un mal uso. También entendemos que cada cliente puede tener diferentes necesidades relacionadas con la resolución de problemas de seguridad.

Desde el inicio de 2023, hemos realizado dos cambios significativos en nuestro enfoque sobre la corrección de las vulnerabilidades de seguridad que me gustaría destacar:

  1. Los parches de vulnerabilidad de seguridad se incluirán en cada actualización
  2. Notificación a los clientes mejorada

Parches de vulnerabilidad de seguridad en cada actualización
En vez de esperar a entregar los parches en una versión de seguridad, cada actualización puede incluir ahora parches de vulnerabilidades de seguridad. Nuestra cadencia de actualizaciones mejorada entregará parches a tiempo.

Notificación a los clientes mejorada
Elementos de impacto medio y bajo, que a menudo incluyen vulnerabilidades como ataques de reconocimiento o ataques de inyección de código (cross-site scripting), serán incluidos en cada actualización y descritos en las notas de la actualización del producto.

Las correcciones para elementos de mayor gravedad también se incluirán en cada actualización según estén listas, pero la información sobre la corrección será retenida hasta que los parches estén en todas las actualizaciones soportadas.

Se publicará una Alerta de Seguridad para problemas con gravedad alta y crítica cuando hayan sido corregidos en todas las actualizaciones soportadas.
 

¿Por qué ha hecho InterSystems estos cambios?
Creemos que estas mejoras:

  1. Permitirán ofrecer más rápidamente parches de seguridad a nuestros clientes
  2. Ayudarán a centrarse en las correcciones de mayor gravedad
  3. Permitirán, en algunos casos, ofrecer correcciones de seguridad como parches en vez de kits completos
  4. Ofrecerán más transparencia sobre cómo las vulnerabilidades de seguridad son gestionadas agrupando las vulnerabilidades por su impacto en la seguridad
  5. Permitirán a los administradores de sistemas aplicar más correcciones basadas en sus necesidades y obligaciones

Por supuesto, el proceso se vuelve mucho más complicado con la noción de las Actualizaciones de Mantenimiento y las Actualizaciones de Entrega Continua. Para ayudar a nuestros clientes a entender cuándo y cómo pueden conseguir correcciones de seguridad, hemos publicado nuestra Política de Gestión de la Vulnerabilidad con más información detallada.

En este 2023 esperamos seguir mejorando vuestra experiencia en relación a nuestro programa de gestión de las vulnerabilidades y la seguridad.

Comentarios (0)1
Inicie sesión o regístrese para continuar