Documentation sur Oracle Cloud Infrastructure

À propos des directives de l'éditeur du marché des applications

OCI permet aux partenaires Oracle de distribuer leurs solutions aux clients OCI au moyen d'Oracle Cloud Marketplace. Les clients d'Oracle sont certains que ces solutions sont conçues et entretenues de manière à garantir que leur sécurité et leur confidentialité sont la priorité absolue.

Les clients s'attendent également à ce que les solutions livrent comme promis, comprennent une excellente documentation et offrent une expérience de soutien efficace et à faible friction. Ce document décrit la barre minimale requise par les partenaires Oracle pour l'inclusion dans Oracle Cloud Marketplace. Vous êtes encouragé à dépasser ces spécifications, dans la mesure du possible. Les solutions qui comprennent des exceptions à ces normes doivent être examinées et approuvées par Oracle.

Mots clés

Ce document utilise des mots clés tels que définis par IETF RFC 2119. Pour plus de renseignements, consultez la page https://www.ietf.org/rfc/rfc2119.txt.

  • Must - Ce mot, ou les termes "Required" ou "Shall", signifie que la définition est une exigence absolue de la spécification.
  • Ne doit pas - Cette phrase, ou l'expression "ne doit pas", signifie que la définition est une interdiction absolue de la spécification.
  • Si - Ce mot, ou l'adjectif "Recommandé", signifie qu'il peut exister des raisons valables dans des circonstances particulières d'ignorer un élément particulier, mais les implications complètes doivent être comprises et soigneusement pesées avant de choisir un autre cours.
  • Ne devrait pas - Cette phrase, ou l'expression "Non recommandé" signifie qu'il peut exister des raisons valables dans des circonstances particulières lorsque le comportement particulier est acceptable ou même utile, mais les implications complètes doivent être comprises et le cas soigneusement pesé avant de mettre en œuvre tout comportement décrit avec cette étiquette.
  • May - Ce mot, ou l'adjectif "facultatif", signifie qu'un élément est vraiment facultatif. Un fournisseur peut choisir d'inclure l'article parce qu'un marché en particulier l'exige ou parce qu'il estime qu'il améliore le produit alors qu'un autre fournisseur peut omettre le même article. Une implémentation qui n'inclut pas une option particulière doit être prête à interagir avec une autre implémentation qui inclut l'option, mais peut-être avec une fonctionnalité réduite. Dans la même veine, une implémentation qui inclut une option particulière doit être préparée à interagir avec une autre implémentation qui n'inclut pas l'option (sauf, bien sûr, pour la fonctionnalité que l'option fournit).

Niveaux de gravité de vulnérabilité

Lorsqu'il y a une référence à une vulnérabilité de sécurité dans cette section, la référence est au système de notation CVSS (Common Vulnerability Scoring System) v3.0. Pour plus d'informations sur CVSS v3.0, consultez https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Sécurité

L'aperçu de la sécurité d'Oracle Cloud Infrastructure indique ce qui suit :

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

Vous devez lire et comprendre l'ensemble de l'approche en matière de sécurité d'Oracle Cloud Infrastructure. Voir Guide de sécurité d'Oracle Cloud Infrastructure dans la documentation d'Oracle Cloud Infrastructure.

Vous devez maintenir une culture de la sécurité d'abord qui comprend et valorise la confiance de nos clients mutuels.

Contrôles

  • Vous devez être conscient des alertes de sécurité et des avis qui ont un impact sur vos solutions. Voici quelques sources courantes d'alertes de sécurité :
    • SecurityFocus tient à jour les avis récents pour de nombreux produits à code source libre et commerciaux. https://www.securityfocus.com/
    • Base de données nationale sur les vulnérabilités. https://nvd.nist.gov/vuln
    • US-CERT et le CERT des systèmes de contrôle industriel (ICS-CERT) publient régulièrement des résumés mis à jour des incidents de sécurité les plus fréquents et ayant une incidence élevée. https://www.us-cert.gov/ics
    • La divulgation complète à l'adresse SecLists.org est un forum public de grande envergure, indépendant des fournisseurs, qui présente des informations détaillées sur les vulnérabilités et les techniques d'exploitation. https://seclists.org/fulldisclosure/
    • Le Centre de coordination de l'équipe de préparation aux urgences informatiques (CERT/CC) contient des informations à jour sur les vulnérabilités des produits les plus populaires. https://www.cert.org
  • Surveillez les mises à jour de la plate-forme Oracle Cloud Infrastructure qui peuvent avoir une incidence sur les images que vous avez publiées.
  • Vous devez aviser OCI dans les 3 jours ouvrables de toute vulnérabilité nouvellement détectée qui a une incidence sur vos solutions avec une notation CVSS supérieure ou égale à 9.0.
  • Vous devez aviser Oracle Cloud Infrastructure dans les 5 jours ouvrables suivant la découverte de toute vulnérabilité ayant une incidence sur vos solutions avec une notation CVSS comprise entre 7.0 et 8.9.
  • Vous devez aviser OCI dans les 20 jours ouvrables de toute vulnérabilité nouvellement découverte qui a une incidence sur vos solutions avec une notation CVSS comprise entre 4.0 et 6.9.
  • Vous devez publier des solutions mises à jour qui atténuent les vulnérabilités nouvellement découvertes en temps opportun.
  • Vous devez permettre aux clients de maintenir leurs solutions à jour pour les protéger contre les vulnérabilités nouvellement découvertes. Voici quelques modèles courants :
    • Application automatique des mises à jour de sécurité.
    • Permettre à un client d'exécuter une commande pour appliquer des mises à jour de sécurité.
    • Fournir un processus qui permet à un client de remplacer tous les déploiements courants par une version mise à jour. Ce processus devrait être suffisamment faible pour qu'un client ne soit pas découragé d'effectuer le travail requis.
  • Vous devez publier des solutions mises à jour avec des mises à jour de sécurité générales sur une base trimestrielle.
  • Si vous pourriez avoir besoin de signer une entente de non-divulgation avant de divulguer une vulnérabilité à Oracle, vous devez avoir signé une entente de confidentialité d'Oracle (CDA) avant la publication de votre première image. Votre équipe de partenaires Oracle vous aidera dans ce processus.