我們花了很多時間與客戶交流,他們提出一個共同的問題是,他們管理的應用環境越來越複雜,以及保持環境運作正常的挑戰。這的確十分具有挑戰:許多企業現在管理著一個複雜的本地、公共雲和混合或多雲應用程式組合,這些應用程式由不斷增加的硬體、軟體和服務元件組成和支援。
即使在最佳條件下運行如此複雜的環境也是一項挑戰。每個元件都需要仔細監控、定期維護和更新。然後是意外的問題-中斷、服務降級和需要修補的漏洞,這可能導致停機時間和潛在的負面業務影響。許多組織都有處理這些事件的流程,但我們一次又一次地聽到,我們如果能盡量減少意外事件導致的影響都對客戶是非常有價值的。
正是由於這個原因,我們正在改變如何處理我們軟體產品中的安全問題的公告方式,包括我們的BIG-IP和NGINX產品系列。當我們需要披露 CVE 或風險時,我們將轉為可預測的季度時程。這些新的季度安全通知將使漏洞和安全問題的公告方式與每個季度預先宣佈的日期相同,以便客戶能夠規劃可能的維護活動,並確保受到保護。
安全問題的修復將繼續包含在我們的軟體產品中持續發佈,我們強烈建議客戶始終運行其 F5 軟體的最新版本,以優化其系統的安全性和性能。我們了解到更新複雜系統所需的運營支出。透過將安全問題的溝通與預先發佈的日期保持一致,我們為客戶提供了預先計劃相關的維護活動的機會。
在某些情況下,需要披露季度安全通知之外的漏洞。例如,隨著 F5 開源專案的修復程式的發佈。在這些情況下,我們將通過安全警報與客戶溝通。與我們目前的方法類似,安全警報將包括安全諮詢和所有必要的資訊,讓客戶了解他們接觸到的問題和可以採取的解決步驟。
為了清楚起見,F5今天沒有披露任何安全問題。如果我們有漏洞要披露,我們將在 2022 年 1 月 19 日發布我們的第一個季度安全通知。有關此次變更和我們的漏洞管理原則的更多資訊,請按下此處
作者:KARA SPRAGUE