在微软安全响应中心（MSRC），我们的使命是保护客户、社区和微软免受当前及新兴的安全与隐私威胁。实现这一目标的一种方式是确定微软产品和服务中安全漏洞的根本原因。我们利用这些信息识别漏洞趋势，并将数据提供给产品工程团队，使他们能够系统地理解和消除安全风险。我们还公开这些趋势，以分享我们的经验和最佳实践，例如在《追求持久安全的系统软件》中。

几十年来，我们一直使用自己的专有分类法来描述漏洞根本原因。今天，我们很高兴宣布一个重大转变：我们将使用通用弱点枚举（CWE™）行业标准发布微软CVE的根本原因数据。我们相信采用CWE将更好地服务于客户、开发人员和整个行业的安全从业者。这一标准将促进更有效的社区讨论，以发现和缓解现有软件和硬件中的这些弱点，同时在未来的更新和发布中最小化它们。最终，我们对CWE的承诺代表了迈向更网络安全的世界的实质性一步。这项工作是微软安全未来倡议（SFI）目标的核心，概述了我们的工程优先事项，以转变软件开发、实施新的身份保护以及提高透明度和更快的漏洞响应，正如微软安全执行副总裁Charlie Bell所阐述的那样。CWE是一个社区开发的常见软件和硬件弱点列表。“弱点”指的是软件、固件、硬件或服务组件中的一种条件，在特定情况下可能促成漏洞的引入。以下是微软Windows CVE的示例，包括与CWE相关的信息。

作为一个行业，我们无法管理无法衡量的东西。为我们自己的漏洞提供准确的CWE，并鼓励行业同行也这样做，是系统化理解、缓解和消除整个漏洞类别的关键。其他行业，如医疗和交通部门，擅长分类和报告事实，无论是积极的还是消极的。我们的行业和客户将通过采用CWE获得更高的透明度和互操作性。

此外，提供的CWE信息不仅将在微软安全更新指南中显示，还将在SUG CVRF API中提供，并在CVE.org和NVD.nist.gov上实例化。

一如既往，我们期待您的反馈，您可以通过点击安全更新指南中每个CVE页面底部的评级横幅来提供反馈。

Lisa Olson，高级程序经理，安全发布