Paso mucho tiempo hablando con los clientes y un tema que suelen plantear es la creciente complejidad del entorno de las aplicaciones que gestionan y los desafíos para mantener ese entorno en buen estado. Esto tiene sentido: muchas empresas gestionan ahora una compleja cartera de aplicaciones en las instalaciones, en nubes públicas y en nubes híbridas o múltiples, y esas aplicaciones están compuestas y apoyadas por un número cada vez mayor de componentes de hardware, software y servicios.
Operar un entorno tan extenso, incluso en condiciones óptimas, es un reto. Cada uno de estos componentes requiere una cuidadosa supervisión y un mantenimiento y actualizaciones periódicas. Luego están los problemas inesperados —cortes, degradaciones del servicio y vulnerabilidades que hay que parchear— que pueden provocar tiempos de inactividad y un impacto potencialmente negativo en la empresa. Muchas organizaciones cuentan con procesos para hacer frente a estos eventos, pero escucho muy a menudo que todo lo que podamos hacer para reducir el impacto de los eventos inesperados será muy valioso.
Por este motivo, estamos realizando un cambio en la forma de gestionar la comunicación pública de los problemas de seguridad de nuestros productos de software, incluyendo nuestras familias de productos BIG-IP y NGINX. A partir de ahora, vamos a usar una cadencia trimestral predecible cuando tenemos que divulgar CVE o exposiciones. Estas nuevas notificaciones de seguridad trimestrales alinearán la comunicación pública de las vulnerabilidades y las exposiciones de seguridad a una fecha anunciada cada trimestre para que los clientes puedan planificar las posibles tareas de mantenimiento para asegurarse de estar protegidos.
Las soluciones de los problemas de seguridad seguirán incluyéndose en las versiones de mantenimiento de nuestros productos de software, y recomendamos encarecidamente a los clientes que ejecuten siempre la versión más reciente de su software F5 para optimizar la seguridad y el rendimiento de sus sistemas. Somos conscientes de la sobrecarga operativa necesaria para actualizar sistemas complejos. Al alinear la comunicación de los problemas de seguridad con una fecha prepublicada, estamos dando a los clientes la oportunidad de planificar proactivamente las posibles tareas de mantenimiento.
Habrá casos en los que será necesaria la divulgación de vulnerabilidades fuera de las notificaciones de seguridad trimestrales. Por ejemplo, con la publicación de correcciones en los proyectos de código abierto de F5. En esos casos, se lo comunicaremos a los clientes a través de una Alerta de seguridad. Al igual que nuestro enfoque actual, las alertas de seguridad incluirán un aviso de seguridad y toda la información necesaria para que los clientes entiendan su exposición al problema y los pasos que pueden tomar para solucionarlo
Para mayor claridad, F5 no está divulgando ningún problema de seguridad hoy. Si tenemos que revelar alguna vulnerabilidad, publicaremos nuestra primera notificación de seguridad trimestral el 19 de enero de 2022. Para obtener más información sobre este cambio y nuestra política de gestión de vulnerabilidades, haga clic aquí.