迈向更高透明度：揭秘云服务CVE

欢迎阅读微软安全响应中心（MSRC）透明度系列的第二篇文章。在这篇持续讨论中，我们探讨了向客户提供全面漏洞信息的承诺。

在MSRC，我们的使命是保护客户、社区和微软免受当前和新兴的安全与隐私威胁。在之前的博客文章中，我们探讨了记录为CWE的漏洞的根本原因。本文讨论记录一类新漏洞：云服务CVE。

通用漏洞与暴露（CVE）计划今年庆祝其25周年，微软一直是积极参与者。随着时间的推移，行业发生了显著变化，基于云的服务日益成为我们日常生活中不可或缺的一部分。过去，云服务提供商（CSP）避免披露在云服务中发现和解决的漏洞信息，除非需要客户操作。普遍的理解是，如果客户不需要安装更新，那么就不需要额外信息来帮助他们保持安全。然而，随着行业的成熟，我们认识到透明度的价值。因此，我们现在宣布，我们将为关键云服务漏洞分配CVE，无论客户是否需要安装补丁或采取其他行动来保护自己。

随着我们行业的成熟并越来越多地迁移到基于云的服务，我们必须对发现和修复的重大网络安全漏洞保持透明。通过公开分享发现和解决的漏洞信息，我们使微软和我们的合作伙伴能够学习和改进。这种协作努力有助于我们关键基础设施的安全性和弹性。

这一承诺与微软安全未来倡议（SFI）的目标一致，该倡议概述了我们的工程优先事项。这些优先事项包括转变软件开发、实施新的身份保护以及提高透明度和更快的漏洞响应，正如微软安全执行副总裁Charlie Bell所阐述的那样。

CVE计划最近更新了为像微软这样的CVE编号机构（CNA）提供指导的规则。这些新规则鼓励了这种向更高透明度的方向。第4.2.2.2节规定：

4.2.2.2 CNA应公开披露并分配CVE ID，如果漏洞：

1. 有可能造成重大损害

或

2. 需要CNA或供应商以外的各方采取行动或进行风险评估。

第1项和第2项之间的“或”很重要，因为它鼓励CNA为重大漏洞分配CVE，无论客户是否需要操作。我们鼓励所有CNA评估这些新规则如何影响他们的产品。

MSRC承认并非所有客户都希望投入时间和精力来处理这类不需要进一步操作的新CVE。因此，我们正在更新安全更新指南和API，以基于此标准进行过滤。

• 在安全更新指南的漏洞选项卡中，将有一个新列显示是否需要客户操作。
• 在API中，将有一个新的注释类型用于过滤过程。
• 在CVE.org记录中，我们将使用exclusively-hosted-service标签来指示客户不需要采取任何操作。

CVE-2024-35260是这类新CVE的一个例子。

一如既往，我们期待您的反馈，您可以通过点击安全更新指南中每个CVE页面底部的评级横幅来提供反馈。

Lisa Olson，高级程序经理，安全发布