“Oracle 继续寻求创新的方式来防止软件开发中的安全缺陷。”

　　OTN: Oracle 将在重要补丁更新中向客户提供哪些有关特定漏洞的详细信息？

　　Davidson：在重要补丁更新中提供的信息旨在满足客户对与漏洞风险相关信息的需求，但不为黑客提供足够的详细信息，防止其轻松洞察如何利用漏洞。

　　OTN: Oracle 如何决定在重要补丁更新中包含哪些内容？

　　Davidson： Oracle 分析、记录并根据严重性公式为每一个安全漏洞分配优先级，这个严重性公式考虑了许多因素，例如利用的容易程度、利用是否需要特殊的权限、漏洞的类型等。Oracle 为安全漏洞分配优先级，以确保被认为最重要的项目立即在下一次更新中提供。重要补丁更新还包括应用安全补丁自身的先决修复程序，以确保对大多数客户不存在补丁冲突。

　　OTN: 如果客户脱离了重要补丁更新计划或者决定不实施给定的更新，那将怎么样？后续的更新是否将正常应用？

　　Davidson：重要补丁更新在补丁集之上应用。Oracle 在重要补丁更新中包含常见的先决补丁（指的是许多客户要求的常见的一次性补丁，特别是向电子商务套件客户推荐的补丁）。这意味着客户仅需要应用重要补丁更新，大多数客户不会遇到补丁冲突。Oracle 的重要补丁更新是从上一次补丁集累积的，因此只需要安装最新的更新。例如，假定运行 Oracle 9.2.0.5 的客户没有应用 2005 年 1 月的更新。那么通过应用 2005 年 4 月的更新（用于他们平台上的 Oracle 9.2.0.5），他们也将获得 1 月份的重要补丁更新中的所有补丁。

　　OTN: 独立软件供应商 (ISV) 在重要补丁更新流程中扮演什么样的角色？

　　Davidson：目前，ISV 以和任何客户一样的方式得到通知。Oracle 正在考虑一个扩展计划来帮助 ISV 更快地在重要补丁更新上认证它们的软件。

　　OTN: Oracle 为防止未来的安全漏洞采取了什么措施？

　　Davidson：Oracle 在继续寻求创新的方式来防止软件开发中的安全缺陷，并在产品交付之前修复这些漏洞。例如，我们已经执行了特别针对安全性的代码审查，重点寻找和消除最常见的安全缺陷，并且我们利用了大量的源代码扫描工具。我们还推出了关于安全的编码实践的一个综合课程。

　　OTN: 客户要担心 Oracle 的安全性？

　　Davidson：Oracle 通过了 19 次独立的安全性评估，它在保障产品开发的安全性以及市场领先的安全性特性和功能方面所做的努力一直无可比拟。Oracle 数据库已经针对各种主要的全球性安全评估准则进行了 17 次评估，这表示我们投资了 1,700 多万美元来“检查”Oracle 的安全性；Oracle 应用服务器进行了 2 次安全性评估。并且 Oracle 用正式的安全开发流程、安全编码标准、关于安全编码实践的全球培训、每一个产品版本的安全合格性检验准则、以及由内部人员和挑选的外部机构执行的产品评估（黑客攻击模拟）增强了这些安全措施。

　　OTN: 客户是否需要注册重要补丁更新过程？

　　Davidson：已经是 MetaLink 用户的客户就已经注册了重要补丁更新；不需要任何操作。对于拥有 Oracle 许可的活动支持合约，但还没有注册 MetaLink 支持的客户，您可以立即注册 MetaLink 访问。没有活动支持合约的客户将无法获得补丁，需要和他们的客户代表联系。