透明性の向上に向けて： マイクロソフトのCVEに標準の CWE を採用

Microsoft Security Response Center (MSRC) 的使命是保护客户、社区和微软免受当前和新的安全与隐私威胁。实现这一目标的方法之一是识别微软产品和服务安全漏洞的根本原因。通过使用这些信息识别漏洞趋势，并将这些数据提供给产品工程团队，我们能够系统地理解并根除安全风险。此外，我们还会公开漏洞趋势，例如在“追求持久安全的系统软件”中分享学习内容和最佳实践。

几十年来，我们一直使用自己的分类法来描述漏洞的根本原因。从今天起，我们将使用行业标准的 Common Weakness Enumeration (CWE™) 来公开微软 CVE 的根本原因。我们很高兴宣布这一重要变化。通过采用 CWE，我们相信能够更好地服务整个行业的客户、开发者和安全专家。这一标准将促进关于发现和缓解现有软件和硬件弱点的更有效社区讨论，并在未来的更新和发布中最小化弱点。最终，对 CWE 的承诺是迈向更高网络安全世界的有意义的一步。这一努力是微软 Secure Future Initiative (SFI) 目标的核心，正如微软安全执行副总裁 Charlie Bell 在文章中明确指出的那样，它概述了软件开发的变革、新身份保护的实施、透明度的提升以及漏洞响应的加速等工程优先事项。CWE 是社区开发的软件和硬件常见弱点列表。“弱点”指的是在软件、固件、硬件或服务组件中，在特定情况下可能导致漏洞引入的缺陷。以下是包含 CWE 相关信息的 Microsoft Windows CVE 示例。

作为行业，我们无法管理无法衡量的东西。为微软的漏洞提供准确的 CWE，并鼓励同行做同样的事情，是系统性地理解、缓解和消除整个漏洞分类的关键。其他行业，如医疗和运输部门，在分类和报告正面和负面事实方面表现出色。通过采用 CWE，我们的行业和客户可以从透明度和互操作性的提升中受益。

此外，提供的 CWE 信息不仅会在更新指南中显示，还将在 SUG CVRF API 中可用，并在 CVE.org 和 NVD.nist.gov 上展示。

一如既往，我们期待客户的反馈，您可以通过点击每个 CVE 页面底部的评估横幅来提交。

Lisa Olson，安全发布高级项目经理

安全更新指南

上一篇帖子 | 下一篇帖子

相关帖子

• 透明性の向上に向けて : 机械で読み取りが可能な CSAF ファイルの公開
• 透明性の向上に向けて : クラウドサービスの CVE の公开について
• マイクロソフトセキュリティ更新プログラムガイドに「セキュリティ アドバイザリ」タブを追加しました。