继续倾听：关于安全更新指南API的好消息！

根据用户反馈，我们简化了安全更新数据的程序化访问方式，取消了使用CVRF API时的认证和API密钥要求。您不再需要登录获取个人API密钥即可访问数据。我们很高兴能让这些宝贵的公共信息更加自由可用和易于访问。有关API的最新信息，请访问我们的交互式文档页面和GitHub上的示例代码库。

如果您现有的脚本或程序使用了API密钥，无需移除。API会考虑其存在但不会使用它。

如果您尚未使用过此API，它是一个很好的工具，可用于创建满足您个人需求的定制报告。例如，如果您想创建显示版本中所有信息的报告，可以在PowerShell ISE窗口中输入以下内容：

1
2
3
4

Install-Module MSRCSecurityUpdates -Force
Import-Module MSRCSecurityUpdates
$cvrfDoc = Get-MsrcCvrfDocument -ID 2021-Feb
$CVRFDoc | Get-MsrcVulnerabilityReportHtml | Out-File -FilePath Feb21.html

这将在当前目录中生成一个文件，包含有关2月份CVE的所有重要信息。MSRCSecurityUpdates是GitHub仓库中的一个模块，供人们贡献和使用。

API可用于创建突出显示不同内容的小型报告：

• 版本的常见问题解答、解决方法和缓解措施列表
• 上个月对CVE所做的修订列表
• 公开或已知被利用的CVE列表

有几个事项可使此过程更轻松。在ICASI网站上有一张CVRF数据布局的图片：CVRF-mindmap-1.1.pdf (icasi.org)。部分信息通过类型标识。以下是一些标识有用信息的类型：

• 漏洞：补救类型0是解决方法
• 漏洞：补救类型1是缓解措施
• 漏洞：注释：类型2是描述
• 漏洞：注释：类型4是常见问题解答
• 漏洞：补救：类型5是已知问题
• 漏洞：注释：类型7是标签
• 漏洞：注释：类型8是发布CNA

关于标签的说明

发布后，MSRC经常收到诸如“如果我的服务器未配置为Hyper-V服务器，是否仍然易受此漏洞影响？”的问题。为了更轻松地提供答案，我们现在将该信息放入标签中。2月发布中有一些这种新标签的示例。例如，要易受CVE-2021-20447和CVE-2021-1722影响，需要启用Windows传真和扫描功能，且传真服务需要正在运行。对于这两个CVE，我们将标签设置为“角色：Windows传真服务”。

几个小巧但实用的新功能

CVSS评分表上方现在有两个按钮。“展开全部”打开所有得分的帮助文本，“折叠全部”移除帮助文本。

我们还在CVE顶部添加了上次修订的日期：

我们希望这些更改对您有所帮助。非常感谢您的反馈，我们将继续倾听。

Lisa Olson，高级安全项目经理，微软安全响应中心