Mit vierteljährlichen Sicherheitsbenachrichtigungen für Vorhersehbarkeit sorgen

Ich verbringe viel Zeit damit, mit Kunden zu sprechen, und ein Thema, das sie häufig ansprechen, ist die zunehmende Komplexität der von ihnen verwalteten Application und die Herausforderungen, diese Umgebung gesund zu halten. Das ist sinnvoll: Viele Unternehmen verwalten heute ein komplexes Portfolio aus lokalen, öffentlichen Cloud- und Hybrid- oder Multi-Cloud Applications– und diese Applications bestehen aus einer ständig wachsenden Zahl von Hardware-, Software- und Servicekomponenten und werden von diesen unterstützt.

Der Betrieb einer solch weitläufigen Landschaft ist selbst unter optimalen Bedingungen eine Herausforderung. Jede dieser Komponenten erfordert eine sorgfältige Überwachung sowie regelmäßige Wartung und Aktualisierung. Dann gibt es noch unerwartete Probleme – Ausfälle, Serviceverschlechterungen und Schwachstellen, die gepatcht werden müssen – die zu Ausfallzeiten und potenziell negativen Auswirkungen auf das Geschäft führen können. Viele Organisationen verfügen über Prozesse, um mit solchen Ereignissen umzugehen, aber ich höre immer wieder, dass alles, was wir tun können, um die Auswirkungen des Unerwarteten zu minimieren, unglaublich wertvoll ist.

Aus diesem Grund ändern wir unseren Umgang mit der öffentlichen Kommunikation von Sicherheitsproblemen bei unseren Softwareprodukten, einschließlich unserer BIG-IP- und NGINX-Produktfamilien. Ab sofort gehen wir zu einem vorhersehbaren vierteljährlichen Rhythmus über, wenn wir CVEs oder Risiken offenzulegen haben. Diese neuen vierteljährlichen Sicherheitsbenachrichtigungen koordinieren die öffentliche Kommunikation von Schwachstellen und Sicherheitsrisiken auf einen vorab angekündigten Termin pro Quartal, sodass Kunden mögliche Wartungsaktivitäten planen können, um ihren Schutz sicherzustellen.

Fixes für Sicherheitsprobleme werden auch weiterhin in den Sustaining Releases aller unserer Softwareprodukte enthalten sein und wir empfehlen unseren Kunden dringend, immer die aktuellste Version ihrer F5-Software auszuführen, um die Sicherheit und Leistung ihrer Systeme zu optimieren. Wir sind uns des Betriebsaufwands bewusst, der mit der Aktualisierung komplexer Systeme verbunden ist. Indem wir die Kommunikation der Sicherheitsprobleme auf einen vorab veröffentlichten Termin ausrichten, geben wir Kunden die Möglichkeit, mögliche Wartungsaktivitäten proaktiv zu planen.

Es wird Fälle geben, in denen die Offenlegung von Schwachstellen außerhalb der vierteljährlichen Sicherheitsbenachrichtigungen erforderlich ist. Zum Beispiel mit der Veröffentlichung von Fixes in den Open-Source-Projekten von F5. In diesen Fällen benachrichtigen wir die Kunden über eine Sicherheitswarnung. Ähnlich wie bei unserem aktuellen Ansatz werden Sicherheitswarnungen einen Sicherheitshinweis und alle notwendigen Informationen enthalten, damit Kunden verstehen, wie stark sie dem Problem ausgesetzt sind und welche Schritte sie zur Behebung unternehmen können. 

Der Klarheit halber sei darauf hingewiesen, dass F5 heute keine Sicherheitsprobleme bekannt gibt. Wenn wir Schwachstellen offenlegen müssen, veröffentlichen wir am 19. Januar 2022 unsere erste vierteljährliche Sicherheitsbenachrichtigung. Für weitere Informationen zu dieser Änderung und unserer Richtlinie zum Schwachstellenmanagement klicken Sie hier .