欢迎阅读微软安全响应中心(MSRC)关于透明度系列的第三篇文章。在本系列中,我们讨论了我们向客户提供全面漏洞信息的承诺。
在MSRC,我们的使命是保护我们的客户、社区和微软免受当前和新兴的安全与隐私威胁。在我们之前的博客文章中,我们宣布了新的云服务CVE,以增加透明度,即使客户无需手动实施缓解措施。今天,我们为所有微软CVE信息添加了一种新的标准机器可读格式,称为通用安全咨询框架(CSAF),以帮助客户加速CVE响应和修复。
CSAF文件更多是为计算机而非人类设计的,因此我们将CSAF文件作为现有CVE数据渠道的补充,而非替代。客户仍然可以通过安全更新指南或基于通用漏洞报告框架(CVRF)的API获取微软的CVE,CVRF一直是提供漏洞数据的历史标准。他们还可以通过电子邮件或我们的RSS源订阅有关CVE信息最新更新或更改的通知。
关于CSAF及相关内容的简要技术背景:CSAF由Oasis管理和维护。它取代了CVRF,微软自2004年以来一直使用CVRF发布CVE信息。CVRF由ICASI管理,并于2021年被First.org采用。IETF发布的RFC 9116讨论了security.txt文件。这个文本文件由全球公司发布和维护,描述了如何查找该公司的安全信息。这是微软security.txt文件的链接。该文件告知公众我们存储CSAF文件的位置。
Security.txt文件
|
|
我们还从安全更新指南添加了指向CSAF目录的链接:
这是继续提高我们供应链透明度之旅的开始,包括我们产品中嵌入的开源软件中的漏洞。我们正在与行业中的其他公司并肩合作,因为在许多方面,我们共同构建产品,需要我们一起努力来满足我们互联世界的需求。
一如既往,我们期待您的反馈,您可以通过点击安全更新指南中每个CVE页面底部的评分横幅来提供反馈。