注意:以下翻译的准确性尚未经过验证。这是使用 AIP ↗ 从原始英文文本进行的机器翻译。

漏洞监控

漏洞管理

Palantir维护一个积极的漏洞管理计划以及相应的补丁服务级别协议(SLA)。该计划包括我们软件产品和基础设施中存在的漏洞。

Palantir安全公告

Palantir维护并公开发布安全公告 ↗,这些公告与我们在支持的软件产品中发现的安全问题有关。尽可能地,还会发布常见漏洞和披露(CVE)。

这些安全公告包括问题概述、背景信息(包括范围和影响)、补救步骤和时间线。

我们努力在问题被识别、修复并通知客户后,不超过30天内公开披露问题。我们保留根据信息安全或其他需要延迟披露截止日期的权利。

如果您是Palantir的客户,您将作为我们漏洞管理过程的一部分,收到私密且有禁令的安全公告。这些公告可能通过自动化方式或由您的Palantir代表转发给您。

我们鼓励所有客户订阅我们的Safebase网站 ↗,以便在新安全公告公开时收到提醒。

用户编写代码中的漏洞

Palantir Foundry的一个功能是允许用户编写任意代码。此代码可以导入或依赖于软件包,包括可能包含已知安全漏洞的软件包。

Palantir将提供已修补和更新的常见软件包和捆绑包版本。然而,自动迁移用户编写的代码到这些较新版本可能会破坏管道或集成。此外,我们无法负责更新和管理Foundry用户使用的所有软件的所有版本。

因此,管理用户编写过程中使用的依赖项和软件包中的软件版本是客户的责任。在极端情况下,Palantir可能会在没有通知或警告的情况下,推送破坏性的包升级以缓解关键安全问题(例如log4j)。