Palantir는 공격적인 취약점 관리 프로그램과 패치에 대한 서비스 수준 계약(SLA)을 유지합니다. 이 프로그램은 소프트웨어 제품과 기본 인프라의 취약점을 포함합니다.
Palantir는 지원하는 소프트웨어 제품에서 식별된 보안 문제와 관련된 보안 공지를 공개적으로 발표합니다 ↗. 가능한 경우, 일반적인 취약점 및 공개(CVE)도 발행됩니다.
이 보안 공지에는 문제 요약, 범위 및 영향 등을 포함한 배경 정보, 해결 단계, 그리고 타임라인이 포함됩니다.
문제가 식별되고 수정되어 고객에게 전달된 후 30일 이내에 문제를 공개적으로 공개하려고 노력합니다. 정보 보안 또는 기타 목적을 위해 이 공개 기한을 연기할 권리를 보유합니다.
Palantir 고객인 경우, 취약점 관리 프로세스의 일환으로 비공개 보안 공지가 제공됩니다. 이는 자동화된 방법이나 Palantir 담당자를 통해 전달될 수 있습니다.
모든 고객이 새로운 보안 공지가 공개될 때 알림을 받을 수 있도록 Safebase 사이트 ↗에 구독할 것을 권장합니다.
Palantir Foundry의 기능 중 하나는 사용자가 임의의 코드를 작성할 수 있는 것입니다. 이 코드는 알려진 보안 취약점을 포함할 수 있는 소프트웨어 패키지를 가져오거나 의존할 수 있습니다.
Palantir는 일반적인 소프트웨어 패키지와 번들의 패치 및 업데이트된 버전을 제공합니다. 그러나 사용자 작성 코드를 이러한 최신 버전으로 자동으로 마이그레이션하면 파이프라인이나 통합이 깨질 수 있습니다. 또한, Foundry 사용자가 사용하는 모든 소프트웨어의 모든 버전을 업데이트하고 관리할 수는 없습니다.
따라서 고객은 사용자가 작성하는 코드에서 사용하는 종속성과 패키지의 소프트웨어 버전을 관리할 책임이 있습니다. 극단적인 상황에서는 Palantir가 중요한 보안 문제(예: log4j)를 완화하기 위해 사전 통지 없이 패키지 업그레이드를 강제로 진행할 수 있습니다.