El método principal para la aplicación retroactiva de todas las correcciones de fallos de seguridad en todos los productos Oracle son las actualizaciones críticas (CPU, del inglés Critical Patch Update). Las actualizaciones críticas se publican trimestralmente, el martes más próximo al día 17 de los meses de enero, abril, julio y octubre. Además, Oracle se reserva la capacidad de publicar parches no programados e instrucciones para la solución de problemas ante vulnerabilidades especialmente críticas o si se han notificado exploits activos in the wild (en estado salvaje). Este programa es el denominado programa de alertas de seguridad. La información sobre todas las actualizaciones críticas y alertas de seguridad publicadas previamente, junto con los enlaces para descargar parches de seguridad, se publica en la página de alertas de seguridad y actualizaciones críticas.

Ventajas
  • Máxima seguridad—Oracle corrige las vulnerabilidades según el riesgo que suponen para los usuarios. Este proceso está diseñado para solventar en primer lugar durante la actualización crítica aquellas deficiencias de seguridad que conllevan mayor riesgo, con lo que se optimiza la posición de seguridad de todos los clientes de Oracle.
  • Menos costes de administración—El calendario de actualizaciones críticas es fijo, por lo que la gestión de parches se puede planificar sin imprevistos. Además, el calendario está diseñado para evitar las habituales lagunas de servicio en las que los clientes no pueden modificar sus entornos de producción.
  • Gestión de parches más sencilla—Las actualizaciones de parches de muchos productos Oracle son acumulativas. De esta forma, los clientes pueden actualizarse rápidamente al nivel de seguridad publicado en cada momento, ya que al aplicar la última actualización crítica acumulativa se resuelven todas las vulnerabilidades anteriores.
  • Identificación de vulnerabilidades de arquitectura—Las evaluaciones de seguridad permiten identificar vulnerabilidades de arquitectura.