迈向更高透明度：发布机器可读的CSAF文件

欢迎阅读微软安全响应中心（MSRC）透明度系列的第三部分。在这持续进行的讨论中，我们谈论我们向客户提供全面漏洞信息的承诺。

在MSRC，我们的使命是保护我们的客户、社区和微软免受当前和新兴的安全与隐私威胁。在我们之前的博客文章中，我们宣布了新的云服务CVE，以增加透明度，即使客户不需要手动实施缓解措施。今天，我们正在为所有微软CVE信息添加一种新的标准机器可读格式，称为通用安全公告框架（CSAF），以帮助客户加速CVE响应和修复。

CSAF文件更多地是为了供计算机使用，而不是供人类使用，因此我们将CSAF文件作为现有CVE数据渠道的补充，而不是替代。客户仍然可以通过安全更新指南或我们基于通用漏洞报告框架（CVRF）的API来获取微软的CVE，这是提供漏洞数据的历史标准。他们还可以通过电子邮件或我们的RSS源订阅有关CVE信息的最新更新或更改的通知。

关于CSAF及相关内容的简要技术背景：CSAF由Oasis管理和维护。它取代了CVRF，微软自2004年以来一直使用CVRF发布CVE信息。CVRF由ICASI管理，并于2021年被First.org采用。IETF发布的RFC 9116讨论了一个security.txt文件。这个文本文件由世界各地的公司发布和维护，描述了如何找到该公司的安全信息。这是微软的security.txt文件的链接。该文件告知公众我们存储CSAF文件的位置。

Security.txt文件

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30

# 我们的安全致谢页面
Acknowledgments: https://msrc.microsoft.com/update-guide/acknowledgement

# 规范URI
Canonical: https://www.microsoft.com/.well-known/security.txt

# 我们的研究员门户
Contact: https://msrc.microsoft.com/report/vulnerability/new

# 我们的电子邮件地址
Contact: mailto:secure@microsoft.com

# 我们的PGP密钥
Encryption: https://www.microsoft.com/en-us/msrc/pgp-key-msrc

Expires: 2025-10-10T16:00:00.000Z

# 我们的赏金政策
Policy: https://www.microsoft.com/en-us/msrc/bounty/

# 我们的协调漏洞披露政策
Policy: https://www.microsoft.com/en-us/msrc/cvd
 
# 我们的赏金法律安全港政策
Policy: https://www.microsoft.com/en-us/msrc/bounty-safe-harbor

# 我们的通用安全公告框架（CSAF）出版物
CSAF: https://msrc.microsoft.com/csaf/provider-metadata.json

Preferred-Languages: en

我们还从安全更新指南添加了指向CSAF目录的链接：

这是我们继续提高供应链透明度以及我们在整个供应链（包括嵌入我们产品的开源软件）中处理和解决的漏洞的旅程的开始。我们正在与行业中的其他公司并肩合作，因为在许多方面，我们共同构建产品，并且需要我们所有人共同努力来满足我们互联世界的需求。

一如既往，我们期待您的反馈，您可以通过点击安全更新指南中每个CVE页面底部的评分横幅来提供反馈。

Lisa Olson，安全发布首席项目经理

安全更新指南

上一篇帖子

下一篇帖子

相关帖子

迈向更高透明度：揭示云服务CVE

迈向更高透明度：为微软CVE采用CWE标准

安全更新指南新增安全公告选项卡