oracle將對自己產品的漏洞劃分級別(轉)

oracle將對自己產品的漏洞劃分級別(轉)[@more@]　　出處：賽迪網

　　oracle公司在本週三宣佈，在其每個季度釋出升級補丁的時候將會使用其資料庫產品的管理員更多關於產品漏洞修補的指導。該指導將詳細介紹升級補丁所修補的漏洞，並將這些漏洞造成的損失作分級評估。

　　這項政策的改變在oracle公司的部落格中釋出，它將在十月十七日的補丁釋出中被採用。oracle公司採用通用弱點評價體系（CVSS）來對每一個漏洞進行評價，特別強調能夠被未經過認證的使用者遠端利用的漏洞。除此之外，還總結了當前釋出的補丁能修補的所有漏洞。

　　oracle公司的全球技術業務部的安全經理Eric Maurice在他的部落格中說：“根據眾多使用者的反饋意見，我們才決定採用這樣的方式對漏洞進行評估。我們希望這一改變能夠有助於客戶能夠更快地瞭解並解決關鍵性的漏洞。”

　　一些安全專家對oracle公司修補產品安全漏洞的速度曾經提出過批評，在2005年7月,Red Database Security的安全專家指出了oracle產品的6處漏洞，oracle公司花費了超過650天的時間才將其解決。今年初，由於oracle公司沒能及時修補產品的漏洞，一家安全公司公佈了其產品的這一系列缺陷。

　　oracle公司的觀察員Peter Finnigan首先在週三提出了關於這項政策的改變，他說：“對於oracle的客戶來說，這是一件大好事,客戶們可以直觀地瞭解他們正在使用的產品有什麼樣的安全漏洞，這個漏洞會造成什麼樣的後果，以及如何修補這一漏洞。”