Documentation Oracle Cloud Infrastructure

A propos des directives de l'éditeur Marketplace

OCI permet aux partenaires Oracle de distribuer leurs solutions aux clients OCI via Oracle Cloud Marketplace. Les clients Oracle sont convaincus que ces solutions sont conçues et gérées de manière à garantir que leur sécurité et leur confidentialité constituent la priorité absolue.

Les clients s'attendent également à ce que les solutions livrent comme promis, incluent une excellente documentation et fournissent une expérience de support efficace et à faible friction. Ce document décrit la barre minimale requise pour que les partenaires Oracle puissent être inclus dans Oracle Cloud Marketplace. Nous vous encourageons à dépasser ces spécifications, dans la mesure du possible. Les solutions qui incluent des exceptions à ces normes doivent être examinées et approuvées par Oracle.

Mots-clés

Ce document utilise des mots clés tels que définis par IETF RFC 2119. Pour plus d'informations, reportez-vous à https://www.ietf.org/rfc/rfc2119.txt.

  • Doit - Ce mot, ou les termes "obligatoire" ou "doit", signifie que la définition est une exigence absolue de la spécification.
  • Ne doit pas - Cette expression, ou l'expression "Ne doit pas", signifie que la définition est une interdiction absolue de la spécification.
  • Devrait - Ce mot, ou l'adjectif "Recommandé", signifie qu'il peut exister des raisons valables dans des circonstances particulières pour ignorer un élément particulier, mais les implications complètes doivent être comprises et soigneusement pesées avant de choisir un cours différent.
  • Ne devrait pas - Cette phrase, ou l'expression "Non recommandé" signifie qu'il peut exister des raisons valables dans des circonstances particulières lorsque le comportement particulier est acceptable ou même utile, mais les implications complètes doivent être comprises et le cas soigneusement pesé avant de mettre en œuvre tout comportement décrit avec cette étiquette.
  • Mai - Ce mot, ou l'adjectif "facultatif", signifie qu'un élément est vraiment facultatif. Un fournisseur peut choisir d'inclure l'article parce qu'une place de marché particulière l'exige ou parce qu'il estime qu'il améliore le produit alors qu'un autre fournisseur peut omettre le même article. Une implémentation qui n'inclut pas une option particulière doit être prête à interagir avec une autre implémentation qui inclut l'option, mais peut-être avec une fonctionnalité réduite. Dans le même ordre d'idées, une implémentation qui inclut une option particulière doit être prête à interagir avec une autre implémentation qui n'inclut pas l'option (sauf, bien sûr, pour la fonctionnalité fournie par l'option).

Niveau de gravité de vulnérabilité

Lorsqu'il y a une référence à la vulnérabilité de sécurité dans cette section, la référence est au système de notation CVSS (Common Vulnerability Scoring System) v3.0. Pour plus d'informations sur CVSS version 3.0, reportez-vous à https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Sécurité

La présentation de la sécurité d'Oracle Cloud Infrastructure indique ce qui suit :

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

Vous devez lire et comprendre toute l'approche Oracle Cloud Infrastructure en matière de sécurité. Reportez-vous au Guide de la sécurité d'Oracle Cloud Infrastructure dans la documentation Oracle Cloud Infrastructure.

Vous devez maintenir une culture de sécurité d'abord qui comprend et valorise la confiance de nos clients communs.

Contrôles

  • Vous devez être conscient des alertes et des avis de sécurité qui ont un impact sur vos solutions. Voici quelques sources courantes d'alertes de sécurité :
    • SecurityFocus tient à jour les conseils récents pour de nombreux produits open source et commerciaux. https://www.securityfocus.com/
    • Base de données nationale sur les vulnérabilités. https://nvd.nist.gov/vuln
    • US-CERT et Industrial Control Systems CERT (ICS-CERT) publient des résumés régulièrement mis à jour des incidents de sécurité les plus fréquents et à fort impact. https://www.us-cert.gov/ics
    • Full Disclosure à l'adresse SecLists.org est un forum public et indépendant des fournisseurs pour une discussion détaillée sur les vulnérabilités et les techniques d'exploitation. https://seclists.org/fulldisclosure/
    • Le centre de coordination de l'équipe de préparation aux urgences informatiques (CERT/CC) dispose d'informations de vulnérabilité à jour pour les produits les plus populaires. https://www.cert.org
  • Surveillez les mises à jour de la plate-forme Oracle Cloud Infrastructure qui peuvent avoir un impact sur les images que vous avez publiées.
  • Vous devez informer OCI dans les 3 jours ouvrables de toute vulnérabilité nouvellement découverte ayant un impact sur vos solutions avec une note CVSS supérieure ou égale à 9,0.
  • Vous devez informer Oracle Cloud Infrastructure sous 5 jours ouvrés de toute vulnérabilité nouvellement découverte ayant un impact sur vos solutions avec une note CVSS comprise entre 7,0 et 8,9.
  • Vous devez informer OCI dans les 20 jours ouvrables de toute vulnérabilité nouvellement découverte ayant un impact sur vos solutions avec une note CVSS comprise entre 4.0 et 6.9.
  • Vous devez publier des solutions mises à jour qui atténuent les vulnérabilités nouvellement découvertes en temps opportun.
  • Vous devez autoriser les clients à mettre à jour leurs solutions pour se protéger contre les vulnérabilités nouvellement découvertes. Voici quelques modèles courants :
    • Application automatique des mises à jour de sécurité.
    • Permettre à un client d'exécuter une commande pour appliquer des mises à jour de sécurité.
    • Fourniture d'un processus permettant à un client de remplacer tous les déploiements actuels par une version mise à jour. Ce processus doit être suffisamment faible pour qu'un client ne soit pas découragé d'effectuer le travail requis.
  • Vous devez publier des solutions mises à jour avec des mises à jour de sécurité générales sur une base trimestrielle.
  • Si vous pouvez exiger l'exécution d'un accord de non-divulgation avant de divulguer une vulnérabilité à Oracle, vous devez avoir signé un accord de confidentialité Oracle (CDA) avant la publication de votre première image. Votre équipe partenaire Oracle vous aidera à effectuer ce processus.