Richtlinien von Oracle zur Offenlegung von Sicherheitslücken

Um unnötige Risiken für die Kunden zu vermeiden, gibt Oracle abgesehen von den Informationen, die in Critical Patch Update- (oder Security Alert-)Advisorys, Vorankündigungen, Readme-Dateien und FAQs bereitgestellt werden, keine weiteren Einzelheiten zu Sicherheitslücken bekannt. Darüber hinaus stellt Oracle Kunden dieselben Informationen zur Verfügung, um alle Kunden in gleichem Maße zu schützen. Oracle bietet keine Vorabbenachrichtigung für einzelne Kunden. Zu guter Letzt entwickelt oder verteilt Oracle keine Code für aktive Exploits (oder Konzeptnachweise) für Sicherheitslücken in unseren Produkten.