Fornecendo previsibilidade com notificações trimestrais de segurança

Passo muito tempo conversando com clientes e um tópico comum que eles levantam é a crescente complexidade do ambiente de aplicativos que eles estão gerenciando e os desafios para manter esse ambiente saudável. Isso faz sentido: muitas empresas agora gerenciam um portfólio complexo de aplicativos locais, de nuvem pública e de nuvem híbrida ou multinuvem, e esses aplicativos são compostos e suportados por um número cada vez maior de componentes de hardware, software e serviços.

Operar uma paisagem tão extensa, mesmo em condições ideais, é um desafio. Cada um desses componentes requer monitoramento cuidadoso, manutenção e atualizações regulares. Depois, há os problemas inesperados — interrupções, degradações de serviço e vulnerabilidades que precisam ser corrigidas — que podem levar a tempo de inatividade e impactos comerciais potencialmente negativos. Muitas organizações têm processos para lidar com esses eventos, mas ouço repetidamente que qualquer coisa que possamos fazer para minimizar o impacto do inesperado é incrivelmente valioso.

É por esse motivo que estamos fazendo uma mudança na forma como lidamos com a comunicação pública de problemas de segurança em nossos produtos de software, incluindo nossas famílias de produtos BIG-IP e NGINX. A partir de agora, estamos mudando para uma cadência trimestral previsível quando temos CVEs ou exposições a divulgar. Essas novas Notificações Trimestrais de Segurança alinharão a comunicação pública de vulnerabilidades e exposições de segurança a uma data pré-anunciada a cada trimestre, para que os clientes possam planejar possíveis atividades de manutenção para garantir que estejam protegidos.

Correções para problemas de segurança continuarão sendo incluídas nas versões de manutenção de nossos produtos de software, e recomendamos fortemente que os clientes sempre executem a versão mais atual do software F5 para otimizar a segurança e o desempenho de seus sistemas. Reconhecemos a sobrecarga operacional necessária para atualizar sistemas complexos. Ao alinhar a comunicação dos problemas de segurança a uma data pré-publicada, estamos dando aos clientes a oportunidade de planejar proativamente possíveis atividades de manutenção.

Haverá casos em que a divulgação de vulnerabilidades fora das Notificações Trimestrais de Segurança será necessária. Por exemplo, com o lançamento de correções nos projetos de código aberto do F5. Nesses casos, comunicaremos aos clientes por meio de um Alerta de Segurança. Semelhante à nossa abordagem atual, os Alertas de Segurança incluirão um aviso de segurança e todas as informações necessárias para que os clientes entendam sua exposição ao problema e as medidas que podem tomar para resolvê-lo. 

Para maior clareza, a F5 não está divulgando nenhum problema de segurança hoje. Se tivermos vulnerabilidades para divulgar, publicaremos nossa primeira Notificação de Segurança Trimestral em 19 de janeiro de 2022. Para mais informações sobre essa mudança e nossa política de gerenciamento de vulnerabilidades, clique aqui .