协调漏洞披露：从理念到实践

去年夏天在 Black Hat 安全会议上，我们宣布了关于漏洞披露方式的哲学转变，称为“协调漏洞披露”（Coordinated Vulnerability Disclosure，CVD）。我们的意图是聚焦于协调和协作如何解决安全问题，从而最小化客户的风险和中断。自那时起，更广泛的安全社区的反馈普遍是支持的。

今天，我们通过宣布对披露实践的三个更新，提供更多透明度和洞察力，以阐述我们的披露哲学：一份《Microsoft 协调漏洞披露》文档、MSVR 公告，以及我们内部的企业漏洞披露政策。

《Microsoft 协调漏洞披露》（CVD）文档 阐明了 Microsoft 不仅作为受其产品和服务中漏洞影响的供应商如何响应，还作为第三方产品和服务中漏洞的发现者，以及影响多个供应商的漏洞的协调者。基于我们多年的经验，我们看到在供应商有机会解决问题之前披露漏洞细节和/或利用代码会放大攻击风险。

作为 Microsoft 漏洞研究（MSVR）计划的一部分，我们发布了首批 MSVR 公告，涉及 Microsoft 在第三方供应商产品中发现的问题。这些问题已私下报告给相关公司，这些公司随后提供了修复方案。自 2008 年 8 月开始运营以来，MSVR 已私下向其他供应商报告了许多漏洞，以帮助改善更广泛的安全生态系统。MSVR 公告进一步记录了我们对以协调方式处理漏洞披露的承诺。更多关于我们的 CVD 理念和对安全研究社区的承诺，请阅读 Katie Moussouris 在 EcoStrat 博客上的文章。

为了帮助确认 Microsoft 对计算生态系统安全的承诺，Microsoft 采纳了内部企业漏洞披露政策，该政策为员工在发现第三方产品或服务中的漏洞时制定了应遵循的协议。

我们相信，最有效的安全方法是全面的安全开发生命周期，在产品发布之前减少或缓解漏洞。在产品或服务发布后，我们认为安全是整个广泛社区的共同责任。安全研究人员和供应商之间的协作最终是为了预防攻击和保护计算生态系统。通过在发现漏洞时通过协调努力合作，我们可以在解决方案开发过程中有效最小化客户风险。我们鼓励其他人采纳这一理念，以期为每个人创建一个更安全、更可信的互联网。

谢谢，

Matt Thomlinson
总经理，可信计算安全