Oracle a commencé à mettre en oeuvre son programme d’avertissements anticipés dans le cadre de ses cycles de mises à jour trimestriels.

Ces avertissements visent à fournir aux services informatiques des informations concernant les applications annoncées par l’éditeur de solutions d’entreprise. Ils seront accompagnées du nombre de correctifs de sécurité qui seront distribués ainsi que du code de classification CVSS (Common Vulnerability Scoring System) pour le correctif le plus critique de chaque grande catégorie de produit.

Les informations préalables à la publication du patch du 16 janvier figurent d’ores et déjà sur le site d’Oracle. L’éditeur de bases de données et de logiciels d’entreprise envisage de mettre en ligne 52 mises à jour de sécurité.

C’est initialement à Microsoft que l’on doit cette initiative de soumettre des avertissements préliminaires dans le but d’aider le personnel d’entreprise en charge du support informatique à se préparer aux prochaines publications de mises à jour.

La décision d’Oracle intervient deux mois après une étude réalisée par les chercheurs de sécurité de NGS Software. Après une comparaison du système de sécurité de la base de données Oracle et du serveur SQL de Microsoft, ils sont arrivés à la conclusion qu’Oracle avait cumulé un important retard par rapport à Microsoft. Le chercheur David Litchfield avait alors indiqué que les pratiques de sécurité adoptées par Oracle ne suivaient pas les évolutions constatées en termes de menaces de sécurité.

Le rapport de NGS n’était pas le premier document à mettre en évidence des failles dans le système de sécurité d’Oracle. L’éditeur a introduit ces dernières années un certain nombre de modifications à ses pratiques de sécurité. Il a notamment adopté un système de cycle de publication régulière de mises à jour afin d’aider les informaticiens à planifier leur travaux.

Traduction d’un article de Vnunet.com en date du 12 janvier 2007