Jak společnosti Oracle ohlásit bezpečnostní zranitelnosti

Pokud patříte mezi zákazníky nebo partnery společnosti Oracle, použijte k odeslání servisního požadavku souvisejícího s bezpečnostní zranitelností, kterou jste podle svého mínění objevili v produktu společnosti Oracle, službu My Oracle Support. Pokud nepatříte mezi zákazníky nebo partnery, odešlete své zjištění na adresu secalert_us@oracle.com. Při komunikaci s oddělením Oracle Security doporučujeme používat šifrování e-mailu s využitím našeho šifrovacího klíče.

Společnost Oracle si váží členů nezávislé komunity výzkumu v oblasti zabezpečení, kteří vyhledávají bezpečnostní zranitelnosti a spolupracují s naší společností na vydávání bezpečnostních oprav pro všechny zákazníky. Zásadou společnosti Oracle je při vydání opravy pro nahlášenou chybu zabezpečení poděkovat všem, kteří se na výzkumu podíleli, v dokumentu Critical Patch Update Advisory. Podmínkou uvedení v dokumentu je však dodržování následujících odpovědných postupů zveřejňování ze strany pracovníků v oblasti výzkumu zabezpečení:

  • nezveřejňovat zranitelnost dříve, než společnost Oracle vydá příslušnou opravu;
  • neposkytovat podrobnosti o problému, například prostřednictvím „exploitů“ nebo kódu dokládajícího zranitelná místa. V poděkování nejsou uvedeni zaměstnanci ani smluvní pracovníci společnosti Oracle a jejích poboček, kteří odhalí bezpečnostní slabiny.