Sobre as Diretrizes do Editor do Marketplace
A OCI permite que os parceiros da Oracle distribuam suas soluções para clientes da OCI por meio do Oracle Cloud Marketplace. Os clientes da Oracle confiam que essas soluções são criadas e mantidas de forma a garantir que sua segurança e privacidade sejam a principal prioridade.
Os clientes também esperam que as soluções sejam entregues conforme prometido, incluam excelente documentação e forneçam uma experiência de suporte eficaz e com baixo atrito. Este documento descreve a barra mínima necessária dos parceiros da Oracle para inclusão no Oracle Cloud Marketplace. Você é encorajado a exceder essas especificações, sempre que possível. As soluções que incluem exceções a esses padrões devem ser analisadas e aprovadas pela Oracle.
Palavras-chave
Este documento usa palavras-chave conforme definido pelo IETF RFC 2119. Para obter mais informações, consulte https://www.ietf.org/rfc/rfc2119.txt.
- Deve - Esta palavra, ou os termos "Obrigatório" ou "Deve", significa que a definição é um requisito absoluto da especificação.
- Não deve - Esta frase, ou a frase "Não deve", significa que a definição é uma proibição absoluta da especificação.
- Deve - Esta palavra, ou o adjetivo "Recomendado", significa que pode haver razões válidas em circunstâncias particulares para ignorar um determinado item, mas as implicações completas devem ser compreendidas e cuidadosamente ponderadas antes de escolher um curso diferente.
- Não deve - Esta frase, ou a frase "Não recomendado" significa que pode haver razões válidas em circunstâncias particulares quando o comportamento particular é aceitável ou mesmo útil, mas as implicações completas devem ser entendidas e o caso cuidadosamente ponderado antes de implementar qualquer comportamento descrito com este rótulo.
- Pode - Esta palavra, ou o adjetivo "opcional", significa que um item é realmente opcional. Um fornecedor pode optar por incluir o item porque um determinado mercado o exige ou porque o fornecedor sente que ele aprimora o produto, enquanto outro fornecedor pode omitir o mesmo item. Uma implementação que não inclua uma opção específica deve estar preparada para interoperar com outra implementação que inclua a opção, embora talvez com funcionalidade reduzida. Na mesma linha, uma implementação que inclua uma opção específica deve estar preparada para interoperar com outra implementação que não inclua a opção (exceto, é claro, para o recurso que a opção oferece).
Níveis de Severidade de Vulnerabilidade
Onde há qualquer referência à vulnerabilidade de segurança nesta seção, a referência é ao sistema de classificação Common Vulnerability Scoring System (CVSS) v3.0. Para obter mais informações sobre o CVSS v3.0, consulte https://nvd.nist.gov/vuln-metrics/cvss/v3-calculator.
Segurança
A visão geral da segurança do Oracle Cloud Infrastructure afirma que:
We [Oracle] believe that a dynamic security-first culture is vital to building a successful security-minded organization. We have cultivated a holistic approach to security culture in which all our team members internalize the role that security plays in our business and are actively engaged in managing and improving our products' security posture. We have also implemented mechanisms that assist us in creating and maintaining a security-aware culture.
Você deve ler e entender toda a abordagem de segurança da Oracle Cloud Infrastructure. Consulte o Oracle Cloud Infrastructure Security Guide na documentação do Oracle Cloud Infrastructure.
Você deve manter uma cultura de segurança em primeiro lugar que entenda e valorize a confiança de nossos clientes mútuos.
Controles
- Você deve manter a conscientização sobre alertas de segurança e recomendações que tenham impacto em suas soluções. Aqui estão algumas fontes comuns de alertas de segurança:
- O SecurityFocus mantém recomendações recentes para muitos produtos comerciais e de código aberto. https://www.securityfocus.com/
- O Banco de Dados de Vulnerabilidade Nacional. https://nvd.nist.gov/vuln
- A US-CERT e a Industrial Control Systems CERT (ICS-CERT) publicam resumos atualizados regularmente dos incidentes de segurança mais frequentes e de alto impacto. https://www.us-cert.gov/ics
- A Divulgação Completa em SecLists.org é um fórum de alto volume, público e neutro do fornecedor para discussão detalhada de vulnerabilidades e técnicas de exploração. https://seclists.org/fulldisclosure/
- O Computer Emergency Readiness Team Coordination Center (CERT/CC) tem informações de vulnerabilidade atualizadas para os produtos mais populares. https://www.cert.org
- Você deve observar as atualizações da plataforma Oracle Cloud Infrastructure que podem ter um impacto nas imagens que você publicou.
- Você deve notificar a OCI em até 3 dias úteis sobre quaisquer vulnerabilidades recém-descobertas que afetem suas soluções com uma classificação CVSS de 9.0 ou superior.
- Você deve notificar o Oracle Cloud Infrastructure em até 5 dias úteis sobre quaisquer vulnerabilidades recém-descobertas que afetem suas soluções com uma classificação CVSS entre 7.0 e 8.9.
- Você deve notificar a OCI em até 20 dias úteis sobre quaisquer vulnerabilidades recém-descobertas que afetem suas soluções com uma classificação CVSS entre 4.0 e 6.9.
- Você deve publicar soluções atualizadas que mitiguem vulnerabilidades recém-descobertas em tempo hábil.
- Você deve permitir que os clientes mantenham suas soluções atualizadas para se proteger contra vulnerabilidades recém-descobertas. Alguns padrões comuns são:
- Aplicação automática de atualizações de segurança.
- Permitir que um cliente execute um comando para aplicar atualizações de segurança.
- Fornecer um processo que permita que um cliente substitua qualquer implantação atual por uma versão atualizada. Esse processo deve ser suficientemente baixo para que um cliente não seja desencorajado de realizar o trabalho necessário.
- Você deve publicar soluções atualizadas com atualizações gerais de segurança trimestralmente.
- Se você puder exigir a execução de um acordo de confidencialidade antes de divulgar uma vulnerabilidade à Oracle, você deverá ter firmado um Contrato de Confidencialidade da Oracle (CDA) antes da publicação da sua primeira imagem. Sua equipe do Oracle Partner ajudará nesse processo.