首页 > 新闻资讯 > IT新闻 >

甲骨文首席安全官要求软件厂商共享详细的漏洞数据

上个月底,在一个漫长的,尖锐的措辞博客后,戴维森在PCI会抨击了据称没有回应甲骨文的一再要求,​​它要求软件厂商共享详细的漏洞数据,甚至在某些情况下重新考虑其政策的补丁没有被发布。

甲骨文首席安全官Mary Ann Davidson​​在一个不寻常的举动,呼吁支付应用软件供应商加入她的公司,在反对特定的安全漏洞,支付卡行业安全标准委员会的报告要求。

上个月底,在一个漫长的,尖锐的措辞博客后,戴维森在PCI会抨击了据称没有回应甲骨文的一再要求,​​它要求软件厂商共享详细的漏洞数据,甚至在某些情况下重新考虑其政策的补丁没有被发布。

戴维森说,“成立行业惯例,有关漏洞的处理,避免了PCI安理会]漏洞的披露要求所造成的风险。”

戴维森争辩称,PCI理事会提出坚持厂商透露详细的漏洞,只要一个漏洞被发现和利用信息,供应商和客户的风险。

她说,“请你告诉你的客户,你必须对大鼠他们是否有违反涉及支付应用到PCI。”

PCI安全标准委员会的管理和开发的一套安全标准,预计将使用信用卡和借记卡数据处理所有实体。

理事会成立于2006年由美国运通,Discover金融服务,JCB国际,万事达卡和维萨卡公司

大约三年前,该局公布的支付应用程序数据安全标准(PA DSS)的一套安全标准支付应用软件的基准。

该标准要求所有支付应用开发,实施具体的安全控制,在他们的产品,并提交定期PCI理事会的安全评估。

所有的零售商和其他实体处理支付卡数据处理支付卡数据时,需要使用只认证支付应用程式(VPA)的。

戴维森说她对象的PA DSS要求软件供应商提交详细的技术信息和利用的PCI理事会在其产品中的任何安全漏洞的细节。

厂商已有义务遵守2010年8月以来的要求,因此目前还不清楚为什么戴维森是提高现在的问题。这可能是因为PCI安理会目前正在寻求发展的PA DSS标准发布的利益相关者的反馈。

戴维森没有立即上博客文章的评论。

在她的岗位,戴维森称为“的PCI理事会的披露要求”非凡非常坏的,短视的和行不通的。具体来说,PCI要求供应商以公开(敢于我们说,'告诉所有的吗?PCI任何已知的安全漏洞和相关安全违规涉及验证支付应用尽快。

安理会可以“多嘴”第三方的安全评审,或以任何分支机构或代理这些实体以及其雇员,承包商,商人,加工,服务提供商和其他有关漏洞的详细信息,戴维森争辩。戴维森在她的博客指出,“不能超过此配套的船员,哦,成千上万的实体。有谁相信,几百万人,能保守秘密吗?”。