Oracle kondigde onlangs patches voor maar liefst 82 lekken in haar database software aan. Naar eigen zeggen is men eerlijk in het onthullen van de kwetsbaarheden en verhelpt men niet zoals veel andere aanbieders in stilte allerlei problemen, maar maakt ze die juist publiekelijk bekend. Doordat er slechts 4 keer per jaar patches worden uitgebracht, verhelpt men per elke patchronde meteen een groot aantal lekken.

Toch krijgt de databasegigant veel kritiek dat ze nauwelijks informatie over de lekken verstrekt. Volgens Oracle CEO Duncan Harris luistert men naar de klanten en welke informatie zij graag ontvangen. Aan de hand hiervan heeft men een matrix gemaakt waarin de aard van elk probleem wordt omschreven. De advisories die Oracle uitbrengt zijn dan ook voor de klanten en niet voor de security gemeenschap.

Op de vraag of vier keer per jaar patchen voldoende is laat Harris weten dat men zich vooral richt op de server side, en dat hierdoor je de patchcyclus van Oracle niet met die van Microsoft kunt vergelijken.

Oracle ligt door haar aanpak van kwetsbaarheden in de software en omgang met onderzoekers onder vuur in de security gemeenschap. De databasegigant zegt goed samen te werken met onderzoekers die zich houden aan de regels voor het publiceren van kwetsbaarheden. Er zijn echter anderen die voor hun eigen redenen ervoor kiezen om Oracle, via "zero-day disclosure", onder druk te zetten en klanten in gevaar te brengen. Harris neemt aan dat dit onderdeel van hun marketingmethode is om zichzelf te verkopen. Ook de "Unbreakable" advertentiecampagne heeft kwaad bloed bij security onderzoekers gezet, waardoor het bedrijf zo nauwlettend in de gaten wordt gehouden.