Marketplace Publisherのガイドラインについて

OCIを使用すると、Oracleパートナーは、Oracle Cloud Marketplaceを介してOCIの顧客にソリューションを配布できます。Oracleのお客様は、これらのソリューションが、セキュリティとプライバシーが最優先であることを保証する方法で構築および管理されていると信頼しています。

お客様は、ソリューションが約束どおりに提供され、優れたドキュメントが含まれ、効果的で摩擦の少ないサポート・エクスペリエンスを提供することも期待しています。このドキュメントでは、Oracle Cloud Marketplaceへの組込みに必要なOracleパートナの最低限のバーについて説明します。可能なかぎり、これらの仕様を超えることをお薦めします。これらの標準の例外を含むソリューションは、Oracleによってレビューおよび承認される必要があります。

キーワード

このドキュメントでは、IETF RFC 2119で定義されたキーワードを使用します。詳細は、https://www.ietf.org/rfc/rfc2119.txtを参照してください。

  • 必須- この単語、または「必須」または「すべて」という用語は、定義が仕様の絶対要件であることを意味します。
  • Must not - このフレーズ、または「Shall not」というフレーズは、定義が仕様の絶対的な禁止であることを意味します。
  • should - この単語、または形容詞「推奨」は、特定の項目を無視する特定の状況に有効な理由が存在する可能性があることを意味しますが、完全な意味は、別のコースを選択する前に理解し、慎重に検討する必要があります。
  • should not - このフレーズ、または「Not recommended」というフレーズは、特定の動作が許容可能または有用である場合に、特定の状況に有効な理由が存在する可能性があることを意味しますが、完全な意味を理解し、このラベルに記載されている動作を実装する前にケースを慎重に検討する必要があります。
  • May - この単語、または形容詞「optional」は、項目が本当に任意であることを意味します。特定のマーケットプレイスでアイテムが必要なため、または別の仕入先が同じアイテムを省略する可能性がある間に仕入先が製品を強化すると感じているために、ある仕入先がアイテムを含めることを選択できます。特定のオプションを含まない実装は、そのオプションを含まない別の実装と相互運用するように準備する必要がありますが、場合によっては機能が低下します。同じ手順で、特定のオプションを含む実装は、オプションを含まない別の実装と相互運用するように準備する必要があります(ただし、オプションが提供する機能については例外です)。

脆弱性重大度レベル

このセクションにセキュリティ脆弱性への参照がある場合、参照はCommon Vulnerability Scoring System (CVSS) v3.0レーティング・システムです。CVSS v3.0の詳細は、https://nvd.nist.gov/vuln-metrics/cvss/v3-calculatorを参照してください。

セキュリティ

Oracle Cloud Infrastructureセキュリティの概要には、次のことが記載されています。

We [Oracle] believe that a dynamic security-first culture is vital to building a successful 
security-minded organization. We have cultivated a holistic approach to security culture in which 
all our team members internalize the role that security plays in our business and are
actively engaged in managing and improving our products' security posture. We have also
implemented mechanisms that assist us in creating and maintaining a security-aware culture.

セキュリティに対するOracle Cloud Infrastructureのアプローチ全体を理解し、理解する必要があります。Oracle Cloud InfrastructureドキュメントのOracle Cloud Infrastructureセキュリティ・ガイドを参照してください。

相互の顧客の信頼を理解し、評価するセキュリティ第一の文化を維持する必要があります。

制御

  • ソリューションに影響を及ぼすセキュリティ・アラートおよびアドバイザリの認識を維持する必要があります。セキュリティ・アラートの一般的なソースを次に示します。
    • SecurityFocusは、多くのオープン・ソースおよび商用製品に関する最新のアドバイザリを保持します。https://www.securityfocus.com/
    • National Vulnerability Database。https://nvd.nist.gov/vuln
    • US-CERTおよびIndustrial Control Systems CERT (ICS-CERT)は、最も頻繁に影響を及ぼすセキュリティ・インシデントのサマリーを定期的に更新しています。https://www.us-cert.gov/ics
    • SecLists.orgでの完全な開示は、脆弱性と悪用技術の詳細な説明のための、大容量のパブリックかつベンダーに依存しないフォーラムです。https://seclists.org/fulldisclosure/
    • Computer Emergency Readiness Team Coordination Center (CERT/CC)には、最も一般的な製品に関する最新の脆弱性情報があります。https://www.cert.org
  • 公開したイメージに影響する可能性があるOracle Cloud Infrastructureプラットフォームの更新を監視する必要があります。
  • CVSS評価が9.0以上のソリューションに影響を及ぼす脆弱性が新たに発見された場合は、3営業日以内にOCIに通知する必要があります。
  • 7.0 から8.9の間のCVSS評価でソリューションに影響を及ぼす脆弱性が新たに検出された場合は、5営業日以内にOracle Cloud Infrastructureに通知する必要があります。
  • CVSS評価が4.0から6.9のソリューションに影響を及ぼす脆弱性が新たに発見された場合は、20営業日以内にOCIに通知する必要があります。
  • 新しく検出された脆弱性を適切なタイミングで軽減する、更新されたソリューションを公開する必要があります。
  • 新たに検出された脆弱性から保護するために、お客様がソリューションを最新の状態に保つことを許可する必要があります。一般的なパターンは次のとおりです。
    • セキュリティ更新を自動的に適用します。
    • 顧客がセキュリティ更新を適用するコマンドの実行を許可します。
    • 顧客が現在のデプロイメントを更新済バージョンに置き換えることができるプロセスを提供します。このプロセスは、必要な作業をお客様が行わないように、十分に摩擦が少ない必要があります。
  • 一般的なセキュリティ更新を使用して、更新されたソリューションを四半期ごとに公開する必要があります。
  • Oracleに対する脆弱性を公開する前に非開示契約の実行が必要な場合、最初のイメージを公開する前にOracle Confidentiality Agreement (CDA)を締結している必要があります。Oracleパートナ・チームが、このプロセスを支援します。