如何向 Oracle 报告安全漏洞

如果您是 Oracle 客户或合作伙伴,请使用 My Oracle Support 为您在 Oracle 产品中发现的任何安全漏洞提交服务请求。 如果您不是客户或合作伙伴,请通过电子邮件将所发现的问题发送至 secalert_us@oracle.com。 在使用电子邮件联系 Oracle 安全团队时,我们建议您使用我们的加密密钥进行电子邮件加密。

对于能够发现安全漏洞并与 Oracle 合作向所有客户发布安全修复程序的独立安全研究社区成员,Oracle 给予充分的重视。 Oracle 的政策是在发布所报告的安全问题的修复时在重要补丁更新通告中表扬所有研究者。 要获得此荣誉,安全研究者应遵循负责任的披露惯例,其中包括:

  • 不在 Oracle 发布漏洞修复之前公布该漏洞
  • 不公开问题的确切细节,例如,漏洞利用或概念验证代码;对于发现漏洞的 Oracle 员工及其子公司的员工或承包商,Oracle 不会予以表扬。