Come segnalare a Oracle le vulnerabilità della sicurezza

Se sei un cliente o un partner Oracle, utilizza My Oracle Support per inviare una richiesta di assistenza per qualsiasi vulnerabilità della sicurezza che ritieni di aver rilevato in un prodotto Oracle. Se non sei un cliente o un partner, invia un'e-mail all'indirizzo secalert_us@oracle.com indicando quanto rilevato. Invitiamo chiunque contatti Oracle Security a utilizzare la crittografia e-mail tramite la nostra chiave di crittografia.

Oracle attribuisce grande importanza ai membri della comunità di ricerca indipendente che individuano vulnerabilità e collaborano con Oracle per fornire le correzioni della sicurezza a tutti i clienti. La politica di Oracle prevede il riconoscimento di tutti i ricercatori nel promemoria degli aggiornamenti di patch critiche quando viene rilasciata una correzione per il bug della sicurezza segnalato. Per ottenere il riconoscimento, i ricercatori in ambito di sicurezza devono seguire pratiche di divulgazione responsabili, tra cui:

  • Non pubblicare la vulnerabilità prima che Oracle rilasci una correzione per tale vulnerabilità.
  • Non divulgare dettagli esatti del problema, ad esempio attraverso codice di exploit o proof of concept. Oracle non riconosce a dipendenti o contractor di Oracle e di sue società controllate le vulnerabilità rilevate.