マイクロソフトのセキュリティ パッチって、多いの？

微软的安全更新程序给人的印象是数量较多？本文重新总结微软安全更新程序的发布流程及其历史发展。

每月一次的“补丁日”

微软在每个月的第二个星期二（美国时间）发布安全信息（安全更新程序）。一个月转瞬即逝，管理员可能会觉得每个月都有新的补丁，似乎永无止境。从数量上看，2013年共发布了106个安全信息（月均9个），2014年到7月为止发布了42个（月均6个）。

图1: 发布的安全信息按产品分类

那么，换个角度来看，微软产品的漏洞是否很多？根据国家漏洞数据库（NVD）的数据，2013年整个行业发现了约5000个漏洞，其中微软产品的漏洞约占7%（图2）。

*图2: 2011年上半年 - 2013年下半年 按供应商分类的漏洞公开数量（来源：SIR第16版）

关于漏洞的处理和安全更新程序的发布时机，我们在《近くて遠くて、古くて新しい、脆弱性ハンドリングとゼロデイ対策》中进行了说明，请参阅。这些漏洞是“频繁”修复，还是每半年或一年集中修复一次，以及为了客户保护，是否在发布时积极提供信息和指导，都会影响接收方的印象。微软在确保客户不受威胁的同时，考虑管理员的负担，最终确定了目前的月度发布方式。

月度发布的历程

安全更新程序的提供始于互联网时代到来不久的1998年6月（图3）。最初是更新程序准备就绪后随时发布，但这种形式导致企业的IT人员无法预测，更新程序的适用率不高，因此从2002年5月起改为每周三（美国时间）发布。然而，每周发布负担较大，于是在2003年11月改为现在的每月第二个星期二（美国时间）发布。并且，从2004年11月开始，为了能够提前制定适用计划，在安全信息发布前3个工作日提供预先通知。月度发布已经实行了10多年，客户反馈普遍良好，表示能够更有效地制定安全更新程序适用计划和确保人员。

图3: 安全信息发布周期的历史

安全更新程序发布流程

MSRC（Microsoft Security Response Center）接收来自全球研究人员、合作伙伴、政府机构和公司内部的漏洞报告，并监控黑客网站和安全会议等是否公开了未知漏洞。此外，全年365天24小时收集和分析恶意软件的MMPC实验室检查是否存在利用未知漏洞的样本。

图4: 从确认安全漏洞到发布的流程

确认为漏洞后，根据漏洞内容确定严重性，并根据可能对客户造成的影响分配优先级。紧急程度高或零日漏洞等情况可能在几天或几周内发布安全更新程序，但优先级低的漏洞可能需要几个月的时间来制作安全更新程序。我们努力在一个更新程序中尽可能多地修复多个漏洞。

安全更新程序制作完成后，为了确保质量，进行多级别严格广泛的测试（图5）。检查功能和依赖性，验证与数千种第三方软件的兼容性，随机抽取员工PC进行适用，确认在实际使用中是否有问题。此外，通过安全更新程序验证程序（SUVP），在合同客户和合作伙伴客户的环境中验证与自家应用程序的兼容性等，进行微软单独无法完成的广泛验证。

图5: 安全更新程序质量测试的阶段

通过此测试后，按照月度周期，与安全信息和指导一起发布安全更新程序。

通过Windows Update保持最新

特别是对于个人客户，为了透明地进行安全措施，通过Windows Update自动分发安全更新程序。这样，每月无需意识即可应用最新的安全更新程序。对于企业客户，提供Windows Server Update Services (WSUS)、Systems Management Server (SMS)、System Center Configuration Manager等管理工具，但从今年5月开始，提供MyBulletins服务（仅提供英文，但日本客户也可使用，需要微软账户），IT管理员可以仅显示与公司环境中微软产品相关的安全信息，并按发布日期、严重性、是否需要重启等排序确定优先级。由于与微软账户链接，自定义信息和设置将作为仪表板保存。MyBulletin是基于客户反馈启动的服务，有兴趣的客户请尝试使用。

结语

微软自1998年以来持续提供更新程序并进行透明的信息披露，同时通过2002年开始的Trustworthy Computing (TwC)（可信计算），努力打造无漏洞产品并通过多层防御提高产品安全性。此外，与行业和相关企业合作，建立更快速、更坚固的客户保护体制，作为漏洞对策和安全对策最先进的企业之一持续努力。

正如无法将犯罪从世界上消除一样，无法将人造软件的漏洞减少到零，但通过平时应用安全更新程序、使用适当的安全产品以及提高安全意识等准备，希望您能享受安心安全的数字生活。