注: 以下の翻訳の正確性は検証されていません。AIPを利用して英語版の原文から機械的に翻訳されたものです。
Palantir は積極的な脆弱性管理プログラムと、それに対応するパッチ適用のサービスレベル契約(SLA)を維持しています。このプログラムは、ソフトウェア製品と基盤となるインフラストラクチャの両方における脆弱性を含みます。
Palantir は、サポートされるソフトウェア製品において特定したセキュリティ問題に関連するセキュリティ・ブリティンを公開しています。可能な場合、共通の脆弱性と開示(CVE)も発行されます。
これらのセキュリティ・ブリティンには、問題の概要、範囲や影響を含む背景情報、対策手順、タイムラインが含まれます。
問題が特定され、修正され、お客様に通知された後、30日以内に問題を公開するよう努めています。情報セキュリティやその他の目的のために、この開示期限を必要に応じて遅らせる権利を留保しています。
Palantir のお客様である場合、脆弱性管理プロセスの一環として、プライベートでエンバーゴされたセキュリティ・ブリティンが提供されます。これらは自動的に、または Palantir の担当者によって転送される場合があります。
すべてのお客様に、新しいセキュリティ・ブリティンが公開されたときに通知されるよう、Safebase サイトに登録することをお勧めします。
Palantir Foundry の機能のひとつは、ユーザーが任意のコードを作成できることです。このコードは、既知のセキュリティ脆弱性を含む可能性があるソフトウェアパッケージをインポートしたり、それらに依存したりすることができます。
Palantir は、一般的なソフトウェアパッケージとバンドルの修正済みおよび更新済みバージョンを提供します。ただし、ユーザーが作成したコードをこれらの新しいバージョンに自動的に移行すると、パイプラインや連携が壊れる可能性があります。また、Foundry のユーザーが使用するすべてのソフトウェアのすべてのバージョンの更新と管理を考慮することはできません。
そのため、ユーザーの作成に使用される依存関係やパッケージに存在するソフトウェアバージョンの管理は、お客様の責任です。極端な状況では、Palantir は(例: log4j)、通知や警告なしに重大なセキュリティ問題を軽減するために破損するパッケージのアップグレードを行う場合があります。