四半期ごとのセキュリティ通知で予測可能性を提供

私は顧客との会話に多くの時間を費やしていますが、顧客からよく聞かれる話題は、管理しているapplication環境の複雑さが増していることと、その環境を健全に保つ上での課題です。 これは当然のことです。現在、多くの企業がオンプレミス、パブリック クラウド、ハイブリッドまたはマルチクラウドapplicationsの複雑なポートフォリオを管理しており、それらのapplicationsは、増え続けるハードウェア、ソフトウェア、およびサービス コンポーネントで構成され、サポートされています。

最適な条件下でも、このように広大な景観を運営するのは困難です。 これらの各コンポーネントは、注意深く監視し、定期的にメンテナンスと更新を行う必要があります。 さらに、停止、サービスの低下、パッチ適用が必要な脆弱性など、予期しない問題が発生し、ダウンタイムが発生し、ビジネスに悪影響を与える可能性があります。 多くの組織では、こうした事態に対処するためのプロセスを導入していますが、予期せぬ事態の影響を最小限に抑えるためにできることは何でも非常に価値があると、私は何度も耳にしています。

このため、当社は、BIG-IP および NGINX 製品ファミリを含むソフトウェア製品のセキュリティ問題に関する公開情報の取り扱い方法を変更することにしました。 今後は、CVE またはエクスポージャーを開示する必要がある場合、予測可能な四半期ごとのペースに移行します。 これらの新しい四半期セキュリティ通知により、脆弱性とセキュリティ上のリスクに関する公開情報が四半期ごとに事前に発表された日付に揃えられるため、顧客は保護を確実にするために、考えられるメンテナンス活動を計画できるようになります。

セキュリティ問題の修正は、当社のソフトウェア製品全体の継続的なリリースに引き続き含まれます。システムのセキュリティとパフォーマンスを最適化するために、お客様には常に F5 ソフトウェアの最新リリースを実行することを強くお勧めします。 複雑なシステムを更新するために必要な運用上のオーバーヘッドを認識しています。 セキュリティ問題の通知を事前に公開された日付に合わせることで、お客様にはメンテナンス活動を事前に計画する機会が提供されます。

四半期セキュリティ通知以外の脆弱性の開示が必要になる場合があります。 たとえば、F5 のオープン ソース プロジェクトの修正のリリースなどです。 そのような場合には、セキュリティアラートを通じてお客様にご連絡いたします。 現在のアプローチと同様に、セキュリティ アラートには、セキュリティに関するアドバイスと、顧客が問題にさらされている状況と対処するための手順を理解するために必要なすべての情報が含まれます。 

明確に述べると、F5 は今日、セキュリティ上の問題を一切公表していません。 開示すべき脆弱性がある場合は、2022 年 1 月 19 日に最初の四半期セキュリティ通知を公開します。 この変更と脆弱性管理ポリシーの詳細については、ここをクリックしてください。