通过季度安全通知提供可预测性

我花了很多时间与客户交谈，他们提出的一个共同话题是他们管理的应用环境日益复杂，以及保持该环境健康所面临的挑战。 这是有道理的：许多企业现在管理着复杂的内部部署、公共云、混合云或多云应用s组合——这些应用s由越来越多的硬件、软件和服务组件组成并支持。

即使在最佳条件下运营如此庞大的景观也是一项挑战。 每个组件都需要仔细监控以及定期维护和更新。 然后还有一些意外问题 - 中断、服务降级和需要修补的漏洞 - 这些可能会导致停机并可能对业务造成负面影响。 许多组织已制定流程来应对这些事件，但我一次又一次地听到，我们为尽量减少意外事件的影响所能采取的任何措施都是极其有价值的。

正是出于这个原因，我们正在改变处理软件产品（包括 BIG-IP 和 NGINX 产品系列）中安全问题公开交流的方式。 从现在开始，我们将按照可预测的季度节奏来披露 CVE 或风险暴露。 这些新的季度安全通知将把漏洞和安全风险的公开沟通与每季度一个预先宣布的日期保持一致，以便客户可以计划可能的维护活动，确保受到保护。

我们软件产品的持续版本中将继续包含对安全问题的修复，我们强烈建议客户始终运行其 F5 软件的最新版本，以优化其系统的安全性和性能。 我们认识到更新复杂系统所需的运营开销。 通过将安全问题的沟通与预先发布的日期相结合，我们为客户提供了主动规划可能的维护活动的机会。

在某些情况下，有必要在季度安全通知之外披露漏洞。 例如，F5 开源项目中修复问题的发布。 在这些情况下，我们将通过安全警报与客户沟通。 与我们目前的方法类似，安全警报将包括安全公告和所有必要信息，以便客户了解他们面临的问题以及可以采取的解决方法。 

为清楚起见，F5 今天不会披露任何安全问题。 如果我们有漏洞需要披露，我们将于 2022 年 1 月 19 日发布第一份季度安全通知。 有关此变化和我们的漏洞管理政策的更多信息，请点击此处。