Hoe informeert u Oracle over zwakke plekken in de beveiliging

Als u klant of partner van Oracle bent, gebruikt u My Oracle Support om een serviceaanvraag in te dienen voor elke zwakke plek in de beveiliging die u meent te hebben ontdekt in een Oracle-product. Als u geen klant of partner bent, kunt u een e-mail met uw ontdekking sturen naar secalert_us@oracle.com. Mensen die contact opnemen met Oracle Security vragen wij versleutelde e-mail te gebruiken met onze versleutelingscode.

Oracle hecht grote waarde aan leden van de onafhankelijke beveiligingsonderzoekcommunity die zwakke plekken in de beveiliging opsporen en er samen met Oracle voor zorgen dat beveiligingsreparaties naar alle klanten kunnen worden uitgestuurd. Oracle heeft als beleid alle onderzoekers een vermelding te geven in het kennisgevingsdocument met updates voor cruciale patches wanneer er een reparatie voor het gemelde beveiligingsrisico wordt uitgegeven. Om voor een vermelding in aanmerking te komen, moeten beveiligingsonderzoekers zich aan de regels voor verantwoordelijke openbaarmaking houden, zoals:

  • De zwakke plekken niet publiceren voordat Oracle er een reparatie voor heeft uitgegeven
  • Geen exacte details omtrent het probleem in de openbaarheid brengen door bijvoorbeeld exploits of programmatuur in de uitprobeerfase. Oracle vermeldt geen werknemers of ingehuurde krachten van Oracle en dochterondernemingen van Oracle voor kwetsbaarheden die zij hebben aangetroffen.