注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
Palantir は積極的な脆弱性管理プログラムとそれに対応するパッチ適用のサービスレベル契約(SLA)を維持しています。このプログラムは、当社のソフトウェア製品および基盤インフラストラクチャの脆弱性を含んでいます。
Palantir は、当社がサポートするソフトウェア製品で特定したセキュリティ問題に関連するセキュリティ・ブリーフィングを公開 ↗ しています。可能な場合には、共通脆弱性および開示(CVE)も発行されます。
これらのセキュリティ・ブリーフィングには、問題の概要、範囲と影響を含む背景情報、修復手順、およびタイムラインが含まれています。
問題が特定され、修正され、お客様に通知された後、30 日以内に問題を公開するよう努めています。情報セキュリティやその他の目的のために、必要に応じてこの開示期限を延期する権利を留保します。
Palantir のお客様である場合、脆弱性管理プロセスの一環としてプライベートな、エンバーゴされたセキュリティ・ブリーフィングが提供されます。これらは、自動的な手段や Palantir の担当者によってお客様に転送されることがあります。
すべてのお客様に、新しいセキュリティ・ブリーフィングが公開されたときにアラートされるために、Safebase サイト ↗ に登録することをお勧めします。
Palantir Foundry の機能の1つは、ユーザーが任意のコードを作成できることです。このコードは、既知のセキュリティ脆弱性を含む可能性があるソフトウェアパッケージをインポートまたは依存することができます。
Palantir は、一般的なソフトウェアパッケージとバンドルの修正済みおよび更新済みのバージョンを提供します。ただし、ユーザー作成コードをこれらの新しいバージョンに自動的に移行すると、パイプラインや統合が壊れることがあります。さらに、Foundry のユーザーが使用するすべてのソフトウェアのすべてのバージョンの更新と管理を考慮することはできません。
そのため、お客様のユーザーによる作成で使用される依存関係やパッケージに存在するソフトウェアバージョンを管理するのは、お客様の責任です。極端な状況では、Palantir は、重大なセキュリティ問題(例:log4j)を緊急に軽減するために、通知や警告なしに破壊的なパッケージのアップグレードを行うことがあります。