Documentazione di Oracle Cloud Infrastructure

Informazioni sulle linee guida per i publisher del Marketplace

OCI consente ai partner Oracle di distribuire le proprie soluzioni ai clienti OCI tramite Oracle Cloud Marketplace. I clienti Oracle si fidano che queste soluzioni siano create e mantenute in modo da garantire che la loro sicurezza e privacy siano la priorità assoluta.

I clienti si aspettano inoltre che le soluzioni vengano fornite come promesso, includano una documentazione eccellente e offrano un'esperienza di supporto efficace e a basso attrito. Questo documento descrive la barra minima richiesta dagli Oracle Partner per l'inclusione in Oracle Cloud Marketplace. Siete incoraggiati a superare queste specifiche, ove possibile. Le soluzioni che includono eccezioni a questi standard devono essere esaminate e approvate da Oracle.

Parola chiave

Questo documento utilizza parole chiave come definito da IETF RFC 2119. Per ulteriori informazioni, vedere https://www.ietf.org/rfc/rfc2119.txt.

  • Must - Questa parola, o i termini "Obbligatorio" o "Dovrebbe", significa che la definizione è un requisito assoluto della specifica.
  • Non deve - Questa frase, o la frase "Non deve", significa che la definizione è un divieto assoluto della specifica.
  • Dovrebbe - Questa parola, o l'aggettivo "Consigliato", significa che possono esistere validi motivi in particolari circostanze per ignorare un particolare elemento, ma le implicazioni complete devono essere comprese e attentamente ponderate prima di scegliere un corso diverso.
  • Non dovrebbe - Questa frase, o la frase "Non raccomandato" significa che ci possono essere validi motivi in particolari circostanze in cui il particolare comportamento è accettabile o addirittura utile, ma le implicazioni complete dovrebbero essere comprese e il caso attentamente valutato prima di implementare qualsiasi comportamento descritto con questa etichetta.
  • Maggio - Questa parola, o l'aggettivo "opzionale", significa che un elemento è veramente facoltativo. Un fornitore può scegliere di includere l'articolo perché un determinato marketplace lo richiede o perché il fornitore ritiene che migliori il prodotto mentre un altro fornitore potrebbe omettere lo stesso articolo. Un'implementazione che non include una particolare opzione deve essere preparata a interoperare con un'altra implementazione che include l'opzione, anche se forse con funzionalità ridotte. Allo stesso modo, un'attuazione che include una particolare opzione deve essere preparata a interoperare con un'altra implementazione che non include l'opzione (tranne, ovviamente, per la funzione che l'opzione fornisce).

Livello severità vulnerabilità

Laddove vi sia un riferimento alla vulnerabilità della sicurezza in questa sezione, il riferimento è al sistema di classificazione CVSS (Common Vulnerability Scoring System) v3.0. Per ulteriori informazioni su CVSS v3.0, vedere https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.

Sicurezza

La panoramica sulla sicurezza di Oracle Cloud Infrastructure afferma che:

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

Devi leggere e comprendere l'intero approccio alla sicurezza di Oracle Cloud Infrastructure. Vedere Oracle Cloud Infrastructure Security Guide nella documentazione di Oracle Cloud Infrastructure.

Devi mantenere una cultura prima la sicurezza che comprenda e valorizzi la fiducia dei nostri clienti comuni.

Comandi

  • È necessario mantenere la consapevolezza degli avvisi e degli avvisi di sicurezza che hanno un impatto sulle soluzioni. Ecco alcune fonti comuni di avvisi di sicurezza:
    • SecurityFocus gestisce gli avvisi recenti per molti prodotti open source e commerciali. https://www.securityfocus.com/
    • Il database nazionale delle vulnerabilità. https://nvd.nist.gov/vuln
    • US-CERT e Industrial Control Systems CERT (ICS-CERT) pubblicano riepiloghi aggiornati a intervalli regolari sugli incidenti di sicurezza ad alto impatto più frequenti. https://www.us-cert.gov/ics
    • Full Disclosure all'indirizzo SecLists.org è un forum pubblico e neutrale rispetto ai fornitori per una discussione dettagliata delle vulnerabilità e delle tecniche di sfruttamento. https://seclists.org/fulldisclosure/
    • Il CERT/CC (Computer Emergency Readiness Team Coordination Center) contiene informazioni aggiornate sulle vulnerabilità per i prodotti più diffusi. https://www.cert.org
  • Ti consigliamo di controllare gli aggiornamenti della piattaforma Oracle Cloud Infrastructure che potrebbero avere un impatto sulle immagini pubblicate.
  • Devi notificare a OCI entro 3 giorni lavorativi qualsiasi vulnerabilità appena scoperta che influisce sulle tue soluzioni con una valutazione CVSS pari o superiore a 9.0.
  • Devi notificare a Oracle Cloud Infrastructure entro 5 giorni lavorativi qualsiasi vulnerabilità appena scoperta che influisce sulle tue soluzioni con una valutazione CVSS compresa tra 7.0 e 8.9.
  • Devi notificare a OCI entro 20 giorni lavorativi tutte le nuove vulnerabilità scoperte che influiscono sulle tue soluzioni con una valutazione CVSS compresa tra 4.0 e 6.9.
  • È necessario pubblicare le soluzioni aggiornate che mitigano le vulnerabilità appena scoperte in modo tempestivo.
  • È necessario consentire ai clienti di mantenere aggiornate le proprie soluzioni per proteggersi dalle nuove vulnerabilità scoperte. Alcuni modelli comuni sono:
    • Applicazione automatica degli aggiornamenti di sicurezza.
    • Consenti a un cliente di eseguire un comando per applicare aggiornamenti di sicurezza.
    • Fornire un processo che consente a un cliente di sostituire qualsiasi distribuzione corrente con una versione aggiornata. Questo processo dovrebbe essere sufficientemente basso in modo che un cliente non sia scoraggiato dall'esecuzione del lavoro richiesto.
  • È necessario pubblicare le soluzioni aggiornate con aggiornamenti di sicurezza generali su base trimestrale.
  • Se l'utente potrebbe richiedere l'esecuzione di un accordo di non divulgazione prima di divulgare una vulnerabilità a Oracle, è necessario aver sottoscritto un accordo di riservatezza Oracle (CDA) prima della pubblicazione della prima immagine. Il tuo team Oracle Partner ti assisterà in questo processo.