Oracle adopta una estrategia mensualizada para patches en sus productos

22 Ago 2004 en Seguridad

Oracle está realizando esfuerzos para encontrar una política de patches capaz de minimizar los problemas de seguridad en sus productos y plataformas. Para ello, en la empresa han decidido seguir un camino similar al de Microsoft (que esperamos les salga mejor que a ellos) en cuanto a la adopción de un ciclo mensual de atención a los upgrades de seguridad y arreglos en respuesta virus. Esto reemplazaría a las frecuencias trimestrales o anuales que antes se seguían.
La empresa continuará emitiendo alertas cuando se descubran serias y urgentes brechas de seguridad en sus productos. El plan de Oracle se lanzó oficialmente en la primer semana de agosto e incluye la notificación a sus clientes y suscriptores seguidas de instrucciones y links a sitios FTP.
Letty Ledbetter manifestó ante el medio matriz de Datamation, Internetnews.com, que “Oracle se está moviendo hacia un modelo mensual de emisión de patches debido a que, un mismo patch incluyendo muchos arreglos en una forma predecible, atiende mejor a las necesidades de nuestros clientes. Si bien emitir esos patches en base a un programa fijo es todo un desafío, confiamos en que estamos haciendo lo que nuestros clientes consideran correcto.”
Oracle es una empresa reconocida por su nivel de exigencia en cuanto a prueba de software. Oracle ha tenido numerosas evaluaciones de seguridad a nivel internaciona, 17 para us bases de datos y 19 generales. Esto compara con una evaluación realizada a la base de datos de Microsoft y con ninguna a la de IBM.
Lo anterior no quita que se descubran agujeros en su seguridad. A principios de este mes, la firma británica Next Generation Security Software (NGS Software) informó 34 vulnerabilidades de seguridad en Oracle Database, Oracle Application Server y Oracle Enterprise Manager. Oracle recibió críticas por la demora en los patches a estas vulnerabilidades.
Ledbetter no relacionó a la nueva política con las críticas antes mencionadas y aclaró que, en general, las alertas de seguridad se dan a conocer una vez que los patches están prontos. Según la ejecutiva, el objetivo es que los clientes reciban un igualitario nivel de notificación y protección. Aunque nosotros agregamos que tampoco es bueno divulgar algo hasta que no tiene una solución porque podría aumentar la cantidad de atacantes que usufructúen la vulnerabilidad al difundirse su existencia.