Oracle está realizando esfuerzos para encontrar una política de patches capaz de minimizar los problemas de seguridad en sus productos y plataformas. Para ello, en la empresa han decidido seguir un camino similar al de Microsoft (que esperamos les salga mejor que a ellos) en cuanto a la adopción de un ciclo mensual de atención a los upgrades de seguridad y arreglos en respuesta virus. Esto reemplazaría a las frecuencias trimestrales o anuales que antes se seguían.
La empresa continuará emitiendo alertas cuando se descubran serias y urgentes brechas de seguridad en sus productos. El plan de Oracle se lanzó oficialmente en la primer semana de agosto e incluye la notificación a sus clientes y suscriptores seguidas de instrucciones y links a sitios FTP.
Letty Ledbetter manifestó ante el medio matriz de Datamation, Internetnews.com, que “Oracle se está moviendo hacia un modelo mensual de emisión de patches debido a que, un mismo patch incluyendo muchos arreglos en una forma predecible, atiende mejor a las necesidades de nuestros clientes. Si bien emitir esos patches en base a un programa fijo es todo un desafío, confiamos en que estamos haciendo lo que nuestros clientes consideran correcto.”
Oracle es una empresa reconocida por su nivel de exigencia en cuanto a prueba de software. Oracle ha tenido numerosas evaluaciones de seguridad a nivel internaciona, 17 para us bases de datos y 19 generales. Esto compara con una evaluación realizada a la base de datos de Microsoft y con ninguna a la de IBM.
Lo anterior no quita que se descubran agujeros en su seguridad. A principios de este mes, la firma británica Next Generation Security Software (NGS Software) informó 34 vulnerabilidades de seguridad en Oracle Database, Oracle Application Server y Oracle Enterprise Manager. Oracle recibió críticas por la demora en los patches a estas vulnerabilidades.
Ledbetter no relacionó a la nueva política con las críticas antes mencionadas y aclaró que, en general, las alertas de seguridad se dan a conocer una vez que los patches están prontos. Según la ejecutiva, el objetivo es que los clientes reciban un igualitario nivel de notificación y protección. Aunque nosotros agregamos que tampoco es bueno divulgar algo hasta que no tiene una solución porque podría aumentar la cantidad de atacantes que usufructúen la vulnerabilidad al difundirse su existencia.