协调漏洞披露重新加载

今日，微软安全响应中心（MSRC）博客上，Matt Thomlinson宣布了三项新举措，旨在提升微软漏洞披露流程的透明度。这些举措包括：

• 协调漏洞披露（CVD）流程文档：详细说明微软处理漏洞披露的内部程序。
• MSVR安全公告首次发布：涵盖由微软发现并已由受影响供应商修复的漏洞。
• 内部员工披露政策：规范员工报告漏洞的流程。

多年来，漏洞披露的争论持续不断，各方都在寻求保护用户的最佳方式。我们相信，提升软件安全性的最佳途径是通过全面的安全开发生命周期（SDL）计划，从软件初始阶段就内置安全机制。对于软件发布后仍存在的漏洞，我们认为漏洞细节的披露应以允许供应商有机会解决问题而不放大风险的方式进行。

作为漏洞发现者和协调者，我们深知向供应商披露漏洞可能是一个复杂的过程。为此，我们开发了微软漏洞研究（MSVR）计划，让员工能够向受影响供应商报告他们发现的漏洞。

我们理解漏洞披露存在不同方法。即使发现者不认同我们的披露理念，我们仍然感谢任何愿意与我们分享的信息。我们希望发现者能在公开技术细节之前，给我们机会通过全面测试的更新来彻底解决问题。我们希望通过披露流程的透明度，鼓励更多原本可能不愿合作的发现者与我们协作。

在记录我们的披露方法时，我们听取了安全社区的意见，包括安全研究人员、供应商和CERT机构。我们感谢以下人员审阅了我们的协调漏洞披露文档。如果您有评论或意见，我们期待您的反馈。请在Twitter上关注@msftsecresponse或我@k8em0。

Katie Moussouris，高级安全策略师，MSRC

微软感谢以下人员审阅我们的协调漏洞披露流程文档：

• Bryan Burns，杰出工程师，Juniper Networks
• Arturo ‘Buanzo’ Busleiman，独立安全顾问
• Steve Christey，CVE编辑，MITRE
• Dave Dittrich，安全工程师/研究员，华盛顿大学应用物理实验室
• Jussi Eronen，信息安全顾问，CERT-FI
• Ian Glover，主席，注册道德安全测试委员会（CREST）
• Jake Kouns，首席执行官，开放安全基金会
• Zach Lanier，Intrepidus Group
• Marc Maiffret，首席技术官，eEye Digital Security
• Art Manion，CERT漏洞分析团队
• Steve Manzuik，安全研究总监，Leviathan安全集团
• Charlie Miller，独立安全评估员
• Toshio Miyachi，董事会成员，JPCERT协调中心
• Bruce Monroe，高级信息安全专家，Intel
• Mike Prosser，Symantec产品安全团队
• Ryan Permeh，产品安全经理，McAfee
• Marsh Ray，高级软件开发工程师，Phonefactor
• Russell Smoak，高级总监/总经理安全研究与运营，CISCO服务
• Chris Wysopal，首席技术官，Veracode

相关标签：CVD、MSVR、负责任披露