Documentación de Oracle Cloud Infrastructure

Acerca de las directrices del editor de Marketplace

OCI permite a los partners de Oracle distribuir sus soluciones a los clientes de OCI a través de Oracle Cloud Marketplace. Los clientes de Oracle confían en que estas soluciones se creen y mantengan de forma que se garantice que su seguridad y privacidad sean la máxima prioridad.

Los clientes también esperan que las soluciones se entreguen según lo prometido, que incluyan una documentación excelente y que proporcionen una experiencia de soporte eficaz y con poca fricción. En este documento se describe la barra mínima necesaria de los partners de Oracle para su inclusión en Oracle Cloud Marketplace. Se le anima a exceder estas especificaciones, siempre que sea posible. Oracle debe revisar y aprobar las soluciones que incluyen excepciones a estos estándares.

Palabras Clave

Este documento utiliza palabras clave según lo definido por IETF RFC 2119. Para obtener más información, consulte https://www.ietf.org/rfc/rfc2119.txt.

  • Debe - Esta palabra, o los términos "Requerido" o "Deberá", significa que la definición es un requisito absoluto de la especificación.
  • No debe - Esta frase, o la frase "No debe", significa que la definición es una prohibición absoluta de la especificación.
  • Esta palabra, o el adjetivo "Recomendado", significa que puede haber razones válidas en circunstancias particulares para ignorar un tema en particular, pero las implicaciones completas deben ser entendidas y cuidadosamente sopesadas antes de elegir un curso diferente.
  • Esta frase, o la frase "No recomendado" significa que puede haber razones válidas en circunstancias particulares cuando el comportamiento en particular es aceptable o incluso útil, pero las implicaciones completas deben ser entendidas y el caso cuidadosamente sopesado antes de implementar cualquier comportamiento descrito con esta etiqueta.
  • May - Esta palabra, o el adjetivo "opcional", significa que un elemento es realmente opcional. Un proveedor puede optar por incluir el artículo porque un mercado concreto lo requiere o porque considera que mejora el producto, mientras que otro proveedor puede omitir el mismo artículo. Una implementación que no incluya una opción en particular debe estar preparada para interoperar con otra implementación que sí incluya la opción, aunque tal vez con una funcionalidad reducida. En la misma línea, una implementación que incluya una opción en particular debe estar preparada para interoperar con otra implementación que no incluya la opción (excepto, por supuesto, para la función que proporciona la opción).

Niveles de Gravedad de Vulnerabilidad

Cuando hay alguna referencia a la vulnerabilidad de seguridad en esta sección, la referencia es al sistema de clasificación Common Vulnerability Scoring System (CVSS) v3.0. Para obtener más información sobre CVSS v3.0, consulte https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Seguridad

En la visión general de la seguridad de Oracle Cloud Infrastructure se indica lo siguiente:

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

Debe leer y comprender todo el enfoque de seguridad de Oracle Cloud Infrastructure. Consulte la Guía de seguridad de Oracle Cloud Infrastructure en la documentación de Oracle Cloud Infrastructure.

Debe mantener una cultura de seguridad primero que comprenda y valore la confianza de nuestros clientes mutuos.

Controles

  • Debe tener en cuenta las alertas y los avisos de seguridad que tienen un impacto en sus soluciones. A continuación, se muestran algunos orígenes comunes de alertas de seguridad:
    • SecurityFocus mantiene avisos recientes para muchos productos comerciales y de código abierto. https://www.securityfocus.com/
    • Base de datos nacional sobre vulnerabilidades. https://nvd.nist.gov/vuln
    • US-CERT y Industrial Control Systems CERT (ICS-CERT) publican resúmenes actualizados con regularidad de los incidentes de seguridad más frecuentes y de alto impacto. https://www.us-cert.gov/ics
    • Full Disclosure en SecLists.org, es un foro de gran volumen, público y neutral que te permite analizar detalladamente las vulnerabilidades y técnicas de explotación. https://seclists.org/fulldisclosure/
    • El Centro de coordinación del equipo de preparación para emergencias informáticas (CERT/CC) tiene información actualizada sobre vulnerabilidades para los productos más populares. https://www.cert.org
  • Debe estar atento a las actualizaciones de la plataforma Oracle Cloud Infrastructure que pueden afectar a las imágenes que haya publicado.
  • Debe notificar a OCI en un plazo de 3 días laborables cualquier vulnerabilidad recién descubierta que afecte a sus soluciones con una calificación CVSS de 9.0 o superior.
  • Debe notificar a Oracle Cloud Infrastructure en un plazo de 5 días laborables cualquier vulnerabilidad recién descubierta que afecte a sus soluciones con una calificación CVSS entre 7.0 y 8.9.
  • Debe notificar a OCI en un plazo de 20 días laborables cualquier vulnerabilidad recién descubierta que afecte a sus soluciones con una calificación CVSS entre 4.0 y 6.9.
  • Debe publicar soluciones actualizadas que mitiguen oportunamente las vulnerabilidades recién descubiertas.
  • Debe permitir que los clientes mantengan sus soluciones actualizadas para protegerse contra las vulnerabilidades recientemente descubiertas. Algunos patrones comunes son:
    • Aplicación automática de actualizaciones de seguridad.
    • Permitir a un cliente ejecutar un comando para aplicar actualizaciones de seguridad.
    • Proporcionar un proceso que permita a un cliente sustituir cualquier despliegue actual por una versión actualizada. Este proceso debe ser suficientemente bajo de fricción para que un cliente no se desanime de realizar el trabajo requerido.
  • Debe publicar las soluciones actualizadas con actualizaciones de seguridad generales trimestralmente.
  • Si puede que necesite la ejecución de un acuerdo de no revelación antes de revelar una vulnerabilidad a Oracle, debe haber formalizado un Acuerdo de Confidencialidad (CDA) de Oracle antes de la publicación de la primera imagen. Su equipo de partners de Oracle le ayudará con este proceso.