Microsoft publicerar Security Servicing Criteria för Windows och avslöjar hur det klassificerar och hanterar buggar

0 Shares

Microsofts glasbyggnadslogotyp

Microsoft har publicerat dokumentation som avslöjar hur klassificerar allvarlighetsgraden av sårbarheter i Windows, samt beskriver hur det avgör om problem ska åtgärdas med en säkerhetsuppdatering eller i nästa version av Windows.

Den första dokumentationen visar för första gången hur Microsoft definierar “kriterierna kring säkerhetsgränser, funktioner och begränsningar i Windows”. När de släpper detaljer om sina klassificeringar av svårighetsgrad – något som kallas bugfältet – säger företaget att det erbjuder en “ny nivå av transparens med forskarsamhället och våra kunder”.

Se även:

Ett utkast till Microsofts servicekriterier publicerades redan i juni, men nu har den första versionen släppts. Microsoft säger att detta kommer att vara ett “levande dokument”. Introduktionen till Microsoft Security Servicing Criteria för Windows förklarar:

Vårt åtagande att skydda kunder från sårbarheter i vår programvara, våra tjänster och enheter inkluderar att tillhandahålla säkerhetsuppdateringar och vägledning som hanterar sårbarheter när de rapporteras till Microsoft. Vi vill också vara transparenta med säkerhetsforskare och våra kunder i vårt tillvägagångssätt. Det här dokumentet hjälper till att beskriva de kriterier som Microsoft Security Response Center (MSRC) använder för att avgöra om en rapporterad sårbarhet som påverkar uppdaterade och för närvarande stödda versioner av Windows kan adresseras genom service eller i nästa version av Windows. För sårbarheter i Windows har service formen av en säkerhetsuppdatering eller tillämplig vägledning, som vanligtvis släpps på Update Tuesday (den andra tisdagen i varje månad).

Företaget har också publicerat Microsoft Vulnerability Severity Classification för Windows, avslöjat på Twitter av säkerhetsexpert Nate Warfield:

Ett inlägg på Security Research & Defense-bloggen förklarar varför Microsoft anser att det är viktigt att dela denna information offentligt:

Ett av våra mål i Microsoft Security Response Center (MSRC) är att vara mer transparent med säkerhetsforskare och våra kunder om de kriterier vi använder för att avgöra när vi tänker ta itu med en rapporterad sårbarhet genom en säkerhetsuppdatering. Vår övertygelse är att förbättrad transparens i detta ämne hjälper till att ge klarhet i hur vi bedömer risk, ställer förväntningar på de typer av sårbarheter som vi tänker betjäna och underlättar konstruktiv dialog när hotlandskapet utvecklas över tiden. I slutändan tror vi att detta gör det möjligt för oss alla att arbeta tillsammans för att bättre skydda Microsofts kunder.

Bildkredit: Bumble Dee / Shutterstock

0 Shares