Oracle : moins d'obscurité, plus de pondération
Oracle vient d'annoncer que les futurs bulletins d'alertes seront désormais classés par ordre de dangerosité, et qu'un peu plus d'explications seront fournies quand à la nécessité de chaque rustine. Dire que l'éditeur joue la transparence absolue serait un peu exagéré, et une lecture attentive de Red Database Security est toujours conseillée. La classification des alertes, précise le blog Oracle, sera celle du CVE, archive quasi « officielle » des failles répertoriées et reconnues. L'explication technique, quant à elle, demeurera relativement superficielle, puisqu'il ne s'agira que d'un « executive summary » (version décérébrée d'un véritable bulletin d'alerte). Reste posée la question du rythme de publication des correctifs. « Patcher » un SGBD ou un outil métier s'avère généralement plus délicat que de modifier le comportement d'un navigateur Web ou d'un pilote d'impression. D'un autre côté, les conséquences d'une intrusion dans une base de données risquent d'entraîner des conséquences plus lourdes que l'immobilisation d'une infrastructure informatique, particulièrement lorsque lesdites données comportent des informations privées. Généralement, les clients Oracle approuvent le rythme sénatorial des publications de correctifs Oracle. Alors, pourquoi s'inquiéter des angoisses des clients des clients...
