宣布协调漏洞披露

今天，微软宣布在漏洞披露理念上的一次转变，将“负责任披露”（Responsible Disclosure）重新定义为“协调漏洞披露”（Coordinated Vulnerability Disclosure）。我们认识到，负责任披露与完全披露支持者之间的无休止争论会削弱行业有意义的协作和客户防护，因此我们认为社区心态需要转变，强调协调与合作是解决问题、最小化客户风险和干扰的关键。

协调漏洞披露（CVD）：新发现的硬件、软件和服务漏洞应直接披露给受影响产品的厂商、CERT-CC或其他协调机构（后者会私下报告给厂商），或通过私人服务私下报告给厂商。发现者允许厂商有机会诊断并提供完全测试的更新、变通方案或其他纠正措施，然后再公开详细的漏洞或利用信息。如果野外攻击正在进行，漏洞细节的早期公开披露可以发生，但发现者和厂商需尽可能紧密合作，为客户提供一致的防护消息和指导。

责任仍然至关重要，但这是安全研究人员、安全产品提供商和其他软件厂商社区的共同责任。这个防御者社区的每个成员都在改善计算生态系统的整体安全中发挥作用。

CVD 并不代表与当前“负责任披露”定义的巨大背离，我们仍然认为在这些指南之外广泛发布漏洞细节会让客户面临不必要的风险水平。然而，CVD 确实允许更集中的协调来解决公开问题。CVD 的核心原则很简单：厂商和发现者需要紧密合作寻求解决方案；应尽最大努力及时响应；只有在活跃攻击发生时，以缓解措施和变通方案为重点的公开披露才可能是最佳行动方案——即使在这种情况下，也应尽可能协调。

随着微软将其理念转向这一新方法，我们请求更广泛的安全社区拥抱这一转变的目的，即最终是为了最小化客户风险，而不是放大它。这一区别至关重要。我们认识到，可能在我们不知情的情况下发生非常有限的攻击。然而，我们从根本上相信（并且我们过去10年的经验表明），一旦漏洞细节公开，利用概率会显著上升。如果没有协调提供安全更新或测试过的变通方案，客户风险会大大放大。

从听取披露争论双方极端的观点中，很明显我们都在努力做一件事：保护客户。多年来，我们一直与安全社区紧密合作，协调我们的行动以造福客户。协调漏洞披露将有助于保护用户安全。

有关 CVD 的更多视角及其运作方式，请参阅 Katie Moussouris 的 Ecostrat 博客文章：http://blogs.technet.com/b/ecostrat/archive/2010/07/22/coordinated-vulnerability-disclosure-bringing-balance-to-the-force.aspx。

谢谢， Matt Thomlinson 可信计算安全总经理