Veritas ist stets bemüht, Sicherheitslücken umgehend und mit größter Sorgfalt zu schließen – bis hin zur Veröffentlichung von Sicherheitshinweisen und benötigten Produkt-Updates für unsere Kunden.
Veritas folgt den von der Organization for Internet Safety entwickelten Richtlinien zur verantwortungsvollen Veröffentlichung. Diese Richtlinien fördern die offene Kommunikation zwischen Analytikern und Anbietern, klären die Verantwortlichkeiten zwischen den Parteien und schützen Einzelpersonen, Unternehmen und die Internet-Infrastruktur vor Ausbeutung, wann immer dies möglich ist. Wir arbeiten eng mit Analytikern zusammen, die Sicherheitslücken melden, und wir nennen solche, die eine verantwortungsvolle Veröffentlichung praktizieren.
Bei Veritas beginnt die Sicherheitslückenverwaltung bei der Produktentwicklung, wo eine Vielzahl von sicheren Kodierungsmethoden und Analysetools eingesetzt werden, um Sicherheitslücken zu erkennen und zu beheben. In einigen Fällen werden solche jedoch nicht erkannt, oder neue Arten von Exploits tauchen auf, nachdem ein Produkt veröffentlicht wurde, was zu Sicherheitsverletzungen in der Umgebung unserer Kunden führen kann.
Veritas vertritt den Standpunkt, dass wir für die Veröffentlichung von Sicherheitslücken in unseren Produkten gegenüber unseren Kunden verantwortlich sind, aber im Allgemeinen sollte eine Sicherheitslücke erst dann bekannt gegeben werden, wenn ein entsprechendes Update entwickelt, gründlich getestet und lizenzierten Kunden zur Verfügung gestellt wurde.
Da unsere Produkte komplex und miteinander verknüpft sind und auf vielen verschiedenen Hardwarekonfigurationen eingesetzt werden, kann Veritas Software-Sicherheitsupdates nicht nach einem festgelegten Zeitplan bereitstellen. Jedes Problem erfordert eine Untersuchung, Behebung, Lokalisierung und Prüfung entsprechend seiner Komplexität. Die Entwicklungsteams arbeiten oft rund um die Uhr und so schnell wie möglich an einem funktionstüchtigen Patch, wenn eine ernsthafte Sicherheitslücke erkannt wird.
Die Richtlinien zur verantwortungsvollen Veröffentlichung besagen, dass Kunden ihrer Computer so schnell wie möglich aktualisieren müssen. Es wird davon ausgegangen, dass ein Update spätestens 30 Tage nach Veröffentlichung angewendet werden. Kunden sollten beachten, dass Personen, die Sicherheitssysteme angreifen, dies oft durch ein Reverse Engineering veröffentlichter Sicherheits-Updates tun. Es ist daher wichtig, dass die Kunde das Update so schnell wie möglich anwenden.
Verantwortungsvolle Sicherheitsanalytiker arbeiten mit dem Veritas Product Security Team über die E-Mail-Adresse secure@veritas.com zusammen. Diese Mitarbeiter wissen, dass die Sicherheit des Kunden an erster Stelle steht, und stellen mit unserer Hilfe sicher, dass das Update verfügbar ist und die Kunden genug Zeit haben, es bereitzustellen, bevor sie die Sicherheitslücke in öffentlichen Foren diskutieren oder den Angriffscode veröffentlichen.
Im Laufe ihrer Arbeit erkennen Veritas-Mitarbeiter möglicherweise eine Sicherheitslücke in einem Produkt eines anderen Anbieters. Veritas befolgt Richtlinien zur verantwortungsvollen Veröffentlichung und meldet die Sicherheitslücke dem betreffenden Anbieter. Unser Ziel ist es, ein unterstützendes, verantwortungsbewusstes Mitglied der Sicherheitsanalysegemeinschaft zu sein.