深入MSRC：月度安全更新发布机制

作为本系列博客的第二篇，我们将探讨哪些漏洞报告会被纳入月度发布节奏中。

首先回顾一下历史背景。2003年9月，我们将发布方式从"随时发布"改为基本可预测的月度发布节奏。2003年10月开启了后来被称为"更新星期二"的惯例。多年来，微软发布新产品和服务的方式发生了变化，但安全内容的月度交付始终保持稳定。

那么，我们如何决定月度安全发布的内容？这个决定主要取决于客户所需的行动和风险。客户行动需求体现在那些需要客户采取行动以防范漏洞的产品上。对于消费者来说，保护通过自动更新实现。并非所有微软产品都需要客户行动，因此不纳入月度发布节奏。在下一篇博客中，我们将讨论在线服务案例，这是不在"更新星期二"处理的主要报告类别。

为了评估风险，我们使用安全开发生命周期(SDL)建立的安全漏洞标准。每个漏洞报告都会根据该标准进行分类，并分配严重性等级：严重、重要、中等、低或深度防御。我们优先处理严重和重要级别的漏洞，在月度更新周期中解决。

较低严重性的漏洞通常考虑在下一个版本(v.Next)中发布。根据其影响，这些修复可能会也可能不会回溯到当前支持的平台。偶尔，较低严重性的漏洞也会在月度更新中解决，但这些更多是机会性更新，通常是因为当月已经有针对更高严重性漏洞的修复发布。有关支持内容和支持生命周期的更多信息，请访问 https://microsoft.com/lifecycle。在本系列博客的后续内容中，我们将讨论v.Next流程，这个流程在我们发布节奏的多年演变中如何发展，以及研究人员可以对这些类别的报告有什么期待。

所有这些流程的结合就是客户所体验到的"更新星期二"节奏。这些发布代表了最高风险的漏洞。我们通过风险信息记录修复内容，以便客户能够更好地为其环境做出明智决策。关于我们如何创建安全更新的更多信息可以在这里找到：https://technet.microsoft.com/en-us/security/dn436305。对于安全研究人员来说，这些发布展示了他们与微软的研究和合作，共同更好地保护客户。

在我们的下一篇博客中，我们将探讨在线服务领域的漏洞报告和解决方案。

Phillip Misner, 首席安全组经理 微软安全响应中心