嗨，大家好，

我们想继续强调我们对安全更新指南所做的更改。我们收到了大量反馈，其中很多是非常积极的。我们承认存在一些稳定性问题，并且正在积极处理有关旧版浏览器无法运行新应用程序的报告。我们非常感谢您在审查这些问题时提供的反馈。

我们听到了对移除先前执行摘要部分的沮丧，特别感谢那些需要更多详细信息才能对更复杂漏洞进行适当风险分析的CVE具体示例。这一变化反映了我们在过去几年中为某些类型的CVE在常见问题解答（FAQ）中添加更多信息的刻意努力，例如：

• 对于信息泄露漏洞，我们加入了“可能披露哪些类型的信息？”
• Office桌面应用程序漏洞包括可能的预览窗格攻击向量
• 如果需要调整组策略，FAQ会反映这一点。

这些FAQ内容示例是您直接反馈的结果。有些是针对某些常见漏洞类型系统生成的，而其他则是为特别不寻常的CVE手动创建的。我们认为这在为客户提供有用和可操作信息与不详细描述漏洞以致帮助对手构建漏洞利用之间取得了良好的平衡。

在安全更新指南的更新设计中，我们专注于提供能够根据特定用户职能定制信息的功能。我们现在提供三种不同的视图：

• 全部：显示所有可用信息的通用视图
• 部署：最适合负责将更新部署到其环境中的人员的视图
• 漏洞：此视图专注于漏洞及与每个漏洞相关的信息

更仔细地看，每个选项卡都允许您选择显示哪些列，并且可以导出为电子表格。

“全部”选项卡可以访问所有不同的数据项，您可以通过编辑列窗格更改列选项来进一步筛选。例如，如果您想首先按最高CVSS基础分数查看CVE，可以选择将基础分数添加到网格中并按该列排序。

第二个选项卡是为部署团队设计的，其中CVE信息不太重要。此选项卡上的编辑列允许您通过取消选择产品和平台列来获取该月的唯一包列表。此列表可以导出到Excel以设置部署计划。

漏洞选项卡将重点放在CVE上，置于前台和中心。在这里，编辑列包括诸如链接到FAQ、文章、缓解措施和变通办法等选项。

我们意识到许多执行摘要重复使用已变得陈旧且不太可操作的内容，反馈表明它们通常不被阅读。在每个更新星期二，都有一些特定的漏洞很棘手，需要执行摘要中包含的更多信息。这就是为什么我们用更全面的CVSS分数替换了执行摘要，同时推出了更灵活的安全更新指南。由于安全更新指南现在包括所有CVE的评分，因此按最高严重性排序条目，然后深入查看提供的文章以获取更多信息。

例如，让我们看看2020年11月的三个复杂CVE：

• CVE-2020-17040的FAQ描述了此漏洞的攻击向量和配置
• CVE-2020-17049在发布后引发了许多问题。我们决定在这种情况下执行摘要可能会有所帮助，因此我们添加了一个。我们还在FAQ中添加了问题列表。
• CVE-2020-17051有一个FAQ，列出了我们收到的常见问题。

这些更改创建了一个满足广泛用户不同需求的平台。请继续分享您的建设性反馈，以帮助我们使其变得更好！

Lisa Olson，高级安全项目经理，微软安全响应中心