深入MSRC–月度安全更新发布机制

作为本系列博客的第二篇，我们将探讨哪些漏洞报告会被纳入月度发布节奏。

首先回顾一些历史背景会有所帮助。2003年9月，我们从随时发布的方式转变为基本可预测的月度发布节奏。2003年10月开启了后来被称为“更新星期二”的机制。多年来，微软发布新产品和服务的方式发生了变化，但安全内容的月度交付一直保持稳定。

那么，我们如何决定月度安全发布的内容？这个决定主要取决于客户所需的行动和风险。客户所需的行动体现在那些需要客户采取行动以防范漏洞的产品上。对于消费者来说，保护通过自动更新实现。并非所有微软产品都需要客户行动，因此不纳入月度发布节奏。在下一篇博客中，我们将讨论在线服务案例，这是“更新星期二”未解决的主要报告类别。

为了评估风险，我们使用由安全开发生命周期（SDL）建立的安全漏洞标准。每个漏洞报告都会根据该标准进行分类，并分配严重性等级–严重、重要、中等、低或深度防御。我们优先处理严重和重要类别的漏洞，在月度更新周期中解决。

较低严重性的漏洞通常考虑在下一个版本（v.Next）中发布。这些漏洞可能会也可能不会回溯到当前支持的平台，具体取决于其影响。偶尔，较低严重性的漏洞也会在月度更新中解决，但这些更多是机会性更新，因为当月已经发布了针对更高严重性漏洞的额外修复。有关支持内容和我们的支持生命周期的更多信息，请访问https://microsoft.com/lifecycle。在本系列博客的后续部分，我们将讨论v.Next流程，该流程如何随着我们的发布节奏演变，以及研究人员可以期待这些类别报告的结果。

所有这些流程的结合就是客户所体验的“更新星期二”节奏。发布代表最高风险的漏洞。我们记录修复内容及风险信息，以便客户能够更好地为其环境做出明智决策。有关我们如何创建安全更新的更多信息，请参见：https://technet.microsoft.com/en-us/security/dn436305。对于安全研究人员来说，这些发布展示了他们的研究以及与微软的合作，共同更好地保护客户。

在我们的下一篇博客中，我们将探讨在线服务领域的漏洞报告和解决方案。

Phillip Misner,
首席安全组经理
微软安全响应中心