我花费大量时间与客户交谈,他们所提出的共同话题是他们所管理的应用环境越来越复杂,以及在保持环境健康方面面临的挑战。这完全是有道理的:许多企业如今管理着复杂的本地、公共云、混合云或多云应用组合,这些应用由数量不断增加的硬件、软件和服务组件组成和予以支持。
即使在最佳条件下操作如此庞大的环境也是一项严峻挑战。每个组件都需要仔细监测并定期维护和更新。但还是会发生一些意外的问题,如中断、服务降级和需要修补的漏洞,这些都可能导致停机和潜在的负面业务影响。许多企业都制定有处理这些事件的程序,但我一次又一次地听到,为最大程度减少意外影响,我们所能采取的任何行动都非常具有价值。
出于这一原因,我们正在改变处理软件产品(其中包括 BIG-IP 和 NGINX 产品系列)安全问题的公开交流方式。从现在开始,当有 CVE 或安全漏洞需要披露时,我们将转为季度性预测。这些新的季度安全通知会将对漏洞和安全纰漏的公开交流统一安排在每季度预先排好的日期,以便客户能够计划可行的维护活动,确保他们受到保护。
对于安全问题的修复将继续包含在我们所有软件产品的持续版本中,我们强烈建议客户始终运行最新的 F5 软件版本,以优化其系统的安全性和性能。我们也认识到更新复杂系统所需的操作营运费用。通过将安全问题的沟通交流统一安排在预先排好的日期,从而为客户提供主动计划可行维护活动的机会。
在某些情况下,有必要在季度安全通知之外披露漏洞。例如,在 F5 的开源项目中发布修复程序。在这些情况下,我们将通过安全警报与客户沟通。与我们目前采取的做法类似,安全警报将包括安全公告和所有必要的信息,以便客户了解他们面临的问题以及可以采取的解决措施。
为清楚起见,F5 目前没有披露任何安全问题。如果我们有漏洞需要披露,我们将在 2022 年 1 月 19 日发布第一个季度安全通知。了解有关此变更和漏洞管理政策的更多信息,请点击此处。