A Oracle mantém equipes de profissionais de segurança especializados com o objetivo de avaliar a força de segurança da infraestrutura, dos produtos e dos serviços da empresa. Essas equipes executam vários níveis de testes de segurança complementares:
Organizações de TI da Oracle são responsáveis pela varredura de segurança dos sistemas corporativos da Oracle e dos serviços de nuvem gerenciados, de acordo com a política de segurança do servidor da Oracle e os padrões de tecnologia associados. Todas as ferramentas de verificação deverão ser aprovadas de acordo com o CSSAP (Processo de Garantia de Solução de Segurança Corporativa). Os resultados da verificação são analisados com uma abordagem baseada em riscos. Os processos de gerenciamento de mudanças são usados para tratar de quaisquer problemas identificados de acordo com a priorização baseada em riscos, com a aprovação da gerência.
As informações sobre as verificações de segurança operacional dos sistemas corporativos e serviços de nuvem da Oracle são Oracle Confidential e não são compartilhadas externamente.
A Oracle exige que sistemas externos e serviços de nuvem passem por testes de penetração realizados por equipes de segurança independentes. A eqipe de testes de penetração da Global Information Security executa testes de penetração e fornece supervisão de todas as linhas de negócios em instâncias em que outras equipes de segurança interna ou um terceiro aprovado realizam atividades de teste de penetração. Essa supervisão é projetada para impulsionar a qualidade, a precisão e a consistência das atividades de teste de penetração e sua metodologia associada. A Oracle possui requisitos de teste de penetração formais que incluem escopo de teste e definição de ambiente, ferramentas aprovadas, classificação de descobertas, categorias de exploits para tentativas via automação e etapas manuais, além de procedimentos para relatar resultados.
Os testes de penetração são realizados rotineiramente nos Oracle Cloud Services e em ambientes de teste contra produtos instalados localmente. As equipes de segurança corporativa da Oracle monitoram a execução dos testes, relatando a qualidade e a remediação das descobertas. Antes de permitir que uma linha de negócios traga um novo sistema ou serviço em nuvem para a produção, a Oracle exige que a remediação de descobertas significativas de testes de penetração seja concluída.
As informações sobre testes de penetração dos sistemas corporativos e serviços em nuvem da Oracle são Oracle Confidential e não são compartilhadas externamente.
As interações de hacking ético são realizadas pela Equipe de Hacking Ético (EHT), um grupo independente de pesquisadores de segurança na organização Global Product Security.
Embora os relatórios de teste da EHT nunca sejam divulgados externamente, a equipe relata suas descobertas ao arquiteto de segurança corporativa, bem como à liderança sênior das linhas de negócios afetadas. Além disso, a equipe colabora significamente com o Oracle Secure Coding Standards e, periodicamente, apresentam resultados abreviados de suas descobertas como "lições aprendidas" para o desenvolvimento da Oracle.
A missão do Oracle Labs é direta: identificar, explorar e transferir novas tecnologias que têm o potencial de melhorar substancialmente o software Oracle, os Oracle Cloud Services e as operações corporativas. Pesquisadores do Oracle Labs procuram novas abordagens e metodologias, muitas vezes assumindo projetos com alto risco ou incerteza, ou que são difíceis de resolver em uma organização de desenvolvimento de produtos.
O compromisso da Oracle com P&D é um fator determinante no desenvolvimento de tecnologias que mantiveram a Oracle na vanguarda da indústria de computadores. Embora muitas das tecnologias de ponta da Oracle tenham origem em suas organizações de desenvolvimento de produtos, o Oracle Labs é a única organização da Oracle dedicada exclusivamente à pesquisa.