Jak zgłaszać luki w zabezpieczeniach

Klienci i partnerzy Oracle mogą przesyłać zgłoszenia serwisowe dotyczące wszystkich wykrytych luk w zabezpieczeniach produktów Oracle za pośrednictwem witryny My Oracle Support. Pozostałe osoby mogą przesyłać opisy wykrytych problemów na adres secalert_us@oracle.com. Zgłoszenia wysyłane do działu Oracle Security należy szyfrować za pomocą klucza szyfrowania Oracle.

Oracle docenia działania niezależnych grup zajmujących się badaniem zabezpieczeń, które informują Oracle o znalezionych lukach w zabezpieczeniach, aby odpowiednie poprawki mogły jak najszybciej trafić do wszystkich użytkowników. Oracle wymienia wszystkie osoby uczestniczące w rozwiązaniu problemu w dokumencie towarzyszącym każdej aktualizacji Critical Patch Update zawierającej poprawkę zgłoszonego problemu z zabezpieczeniami. Aby zostać wymienionym w tym dokumencie, należy postępować zgodnie z zasadami odpowiedzialnego ujawniania błędów. Oznacza to, że:

  • Nie należy publikować informacji o luce w zabezpieczeniach przed udostępnieniem przez Oracle stosownej poprawki.
  • Nie należy ujawniać dokładnych informacji o takiej luce, na przykład w ramach kodu umożliwiającego wykorzystanie tej luki. We wspomnianej dokumentacji Oracle nie wymienia pracowników ani wykonawców Oracle lub podmiotów zależnych Oracle.