Fournir de la prévisibilité grâce aux notifications de sécurité trimestrielles
Je passe beaucoup de temps à discuter avec les clients et un sujet commun qu’ils soulèvent est la complexité croissante de l’environnement application qu’ils gèrent et les défis à relever pour maintenir cet environnement en bonne santé. Cela a du sens : de nombreuses entreprises gèrent désormais un portefeuille complexe d’ applications sur site, dans le cloud public et dans le cloud hybride ou multicloud, et ces applications sont composées et prises en charge par un nombre toujours croissant de composants matériels, logiciels et de services.
Exploiter un paysage aussi vaste, même dans des conditions optimales, constitue un défi. Chacun de ces composants nécessite une surveillance minutieuse ainsi qu’une maintenance et des mises à jour régulières. Il y a ensuite les problèmes inattendus (pannes, dégradations de service et vulnérabilités devant être corrigées), qui peuvent entraîner des temps d’arrêt et des impacts commerciaux potentiellement négatifs. De nombreuses organisations ont mis en place des processus pour faire face à ces événements, mais j’entends à maintes reprises que tout ce que nous pouvons faire pour minimiser l’impact de l’inattendu est incroyablement précieux.
C'est pour cette raison que nous modifions la manière dont nous gérons la communication publique des problèmes de sécurité dans nos produits logiciels, y compris nos familles de produits BIG-IP et NGINX. À partir de maintenant, nous passons à une cadence trimestrielle prévisible lorsque nous avons des CVE ou des expositions à divulguer. Ces nouvelles notifications de sécurité trimestrielles aligneront la communication publique des vulnérabilités et des expositions de sécurité sur une date pré-annoncée chaque trimestre afin que les clients puissent planifier d'éventuelles activités de maintenance pour s'assurer qu'ils sont protégés.
Les correctifs pour les problèmes de sécurité continueront d'être inclus dans les versions de maintenance de nos produits logiciels, et nous recommandons vivement aux clients d'exécuter toujours la version la plus récente de leur logiciel F5 pour optimiser la sécurité et les performances de leurs systèmes. Nous reconnaissons les frais opérationnels nécessaires à la mise à jour de systèmes complexes. En alignant la communication des problèmes de sécurité sur une date pré-publiée, nous donnons aux clients la possibilité de planifier de manière proactive d’éventuelles activités de maintenance.
Il y aura des cas où la divulgation de vulnérabilités en dehors des notifications de sécurité trimestrielles sera nécessaire. Par exemple, avec la publication de correctifs dans les projets open source de F5. Dans ces cas, nous communiquerons aux clients via une alerte de sécurité. Semblable à notre approche actuelle, les alertes de sécurité comprendront un avis de sécurité et toutes les informations nécessaires pour que les clients comprennent leur exposition au problème et les mesures qu'ils peuvent prendre pour y remédier.
Pour plus de clarté, F5 ne divulgue aucun problème de sécurité aujourd'hui. Si nous avons des vulnérabilités à divulguer, nous publierons notre première notification de sécurité trimestrielle le 19 janvier 2022. Pour plus d'informations sur ce changement et notre politique de gestion des vulnérabilités, veuillez cliquer ici .