Oracle Cloud Infrastructure - Dokumentation

Informationen zu Marketplace-Anbieterrichtlinien

Mit OCI können Oracle-Partner ihre Lösungen über den Oracle Cloud Marketplace an OCI-Kunden vertreiben. Oracle-Kunden vertrauen darauf, dass diese Lösungen so entwickelt und gewartet werden, dass Sicherheit und Datenschutz oberste Priorität haben.

Kunden erwarten auch, dass Lösungen wie versprochen liefern, eine hervorragende Dokumentation enthalten und ein effektives und reibungsarmes Support-Erlebnis bieten. In diesem Dokument wird der Mindestbalken beschrieben, der von Oracle-Partnern für die Aufnahme in Oracle Cloud Marketplace benötigt wird. Sie werden ermutigt, diese Spezifikationen zu überschreiten, wo immer möglich. Lösungen, die Ausnahmen von diesen Standards enthalten, müssen von Oracle geprüft und genehmigt werden.

Schlüsselwörter

Dieses Dokument verwendet Schlüsselwörter gemäß IETF RFC 2119. Weitere Informationen finden Sie unter https://www.ietf.org/rfc/rfc2119.txt.

  • Muss - Dieses Wort oder die Begriffe "Erforderlich" oder "Soll" bedeuten, dass die Definition eine absolute Anforderung der Spezifikation ist.
  • Diese Phrase oder der Ausdruck "Soll nicht" bedeutet, dass die Definition ein absolutes Verbot der Spezifikation ist.
  • Sollte - Dieses Wort oder das Adjektiv "Empfohlen" bedeuten, dass es unter bestimmten Umständen gültige Gründe geben kann, ein bestimmtes Element zu ignorieren, aber die vollständigen Auswirkungen müssen verstanden und sorgfältig abgewogen werden, bevor ein anderer Kurs gewählt wird.
  • Sollte nicht - Dieser Satz oder der Ausdruck "Nicht empfohlen" bedeuten, dass es unter bestimmten Umständen gültige Gründe geben kann, wenn das bestimmte Verhalten akzeptabel oder sogar nützlich ist, aber die vollständigen Auswirkungen sollten verstanden und der Fall sorgfältig abgewogen werden, bevor ein mit diesem Etikett beschriebenes Verhalten implementiert wird.
  • Mai - Dieses Wort oder das Adjektiv "optional" bedeutet, dass ein Artikel wirklich optional ist. Ein Lieferant kann den Artikel einschließen, weil ein bestimmter Marktplatz ihn erfordert oder weil der Lieferant der Meinung ist, dass er das Produkt verbessert, während ein anderer Lieferant denselben Artikel weglassen kann. Eine Implementierung, die keine bestimmte Option enthält, muss bereit sein, mit einer anderen Implementierung zu interagieren, die diese Option beinhaltet, wenn auch möglicherweise mit reduzierter Funktionalität. In gleicher Weise muss eine Implementierung, die eine bestimmte Option enthält, bereit sein, mit einer anderen Implementierung zu interagieren, die nicht die Option enthält (außer natürlich für die Funktion, die diese Option bietet).

Schweregrad der Sicherheitslücke

Wenn in diesem Abschnitt auf Sicherheitslücken verwiesen wird, wird auf das Common Vulnerability Scoring System (CVSS) v3.0-Bewertungssystem verwiesen. Weitere Informationen zu CVSS v3.0 finden Sie unter https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Sicherheitseinstellungen

Im Sicherheitsüberblick zu Oracle Cloud Infrastructure wird Folgendes angegeben:

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

Sie müssen den gesamten Sicherheitsansatz von Oracle Cloud Infrastructure lesen und verstehen. Siehe Oracle Cloud Infrastructure - Sicherheitsdokumentation in der Oracle Cloud Infrastructure-Dokumentation.

Sie müssen eine Sicherheitskultur an erster Stelle pflegen, die das Vertrauen unserer gemeinsamen Kunden versteht und schätzt.

Optionen

  • Sie müssen über Sicherheitswarnungen und -hinweise informiert sein, die sich auf Ihre Lösungen auswirken. Hier sind einige häufige Quellen für Sicherheitswarnungen:
    • SecurityFocus verwaltet aktuelle Advisorys für viele Open Source- und kommerzielle Produkte. https://www.securityfocus.com/
    • Die National Vulnerability Database. https://nvd.nist.gov/vuln
    • US-CERT und das Industrial Control Systems CERT (ICS-CERT) veröffentlichen regelmäßig aktualisierte Zusammenfassungen der häufigsten Sicherheitsvorfälle mit hoher Auswirkung. https://www.us-cert.gov/ics
    • Die vollständige Offenlegung unter SecLists.org ist ein umfangreiches, öffentliches, herstellerneutrales Forum für detaillierte Diskussionen über Sicherheitslücken und Ausnutzungstechniken. https://seclists.org/fulldisclosure/
    • Das Computer Emergency Readiness Team Coordination Center (CERT/CC) verfügt über aktuelle Sicherheitslückeninformationen für die beliebtesten Produkte. https://www.cert.org
  • Sie sollten nach Oracle Cloud Infrastructure-Plattformupdates suchen, die sich auf veröffentlichte Images auswirken können.
  • Sie müssen OCI innerhalb von 3 Werktagen über neu entdeckte Sicherheitslücken informieren, die sich auf Ihre Lösungen auswirken, mit einer CVSS-Bewertung von 9,0 oder höher.
  • Sie müssen Oracle Cloud Infrastructure innerhalb von 5 Werktagen über neu entdeckte Sicherheitslücken informieren, die sich auf Ihre Lösungen auswirken, mit einer CVSS-Bewertung zwischen 7.0 und 8.9.
  • Sie müssen OCI innerhalb von 20 Werktagen über neu entdeckte Sicherheitslücken informieren, die sich auf Ihre Lösungen auswirken, mit einer CVSS-Bewertung zwischen 4.0 und 6.9.
  • Sie müssen aktualisierte Lösungen veröffentlichen, die neu entdeckte Sicherheitslücken zeitnah beseitigen.
  • Sie müssen Kunden erlauben, ihre Lösungen auf dem neuesten Stand zu halten, um sich vor neu entdeckten Sicherheitslücken zu schützen. Einige gängige Muster sind:
    • Automatisches Einspielen von Sicherheitsupdates.
    • Einem Kunden die Ausführung eines Befehls zum Einspielen von Sicherheitsupdates erlauben.
    • Bereitstellung eines Prozesses, mit dem ein Kunde alle aktuellen Deployments durch eine aktualisierte Version ersetzen kann. Dieser Vorgang sollte ausreichend reibungsarm sein, so dass ein Kunde nicht von der Durchführung der erforderlichen Arbeiten abgehalten wird.
  • Sie sollten aktualisierte Lösungen mit allgemeinen Sicherheitsupdates vierteljährlich veröffentlichen.
  • Wenn Sie vor der Offenlegung einer Sicherheitsanfälligkeit gegenüber Oracle die Ausführung einer Geheimhaltungsvereinbarung benötigen, müssen Sie vor der Veröffentlichung Ihres ersten Images einen Oracle-Vertraulichkeitsvertrag (CDA) unterzeichnet haben. Ihr Oracle-Partnerteam unterstützt Sie bei diesem Prozess.