Microsoft zmienia podejście do kwestii bezpieczeństwa

Microsoft ma nową usługę bezpieczeństwa, która zapewni natychmiastową reakcję, gdy badacze upublicznią niezałatane luki.

Program pilotażowy , prowadzone przez Microsoft Security Response Center (MSRC) i nazywane po prostu "Poradami bezpieczeństwa Microsoft", uzupełnia miesięczne zaplanowane biuletyny dotyczące zabezpieczeń, zwykle opatrzone łatami.

W przeciwieństwie do biuletynów, poradniki nie będą musiały spełniać żadnych ustalonych Zamiast tego ujawnić można jak najszybciej po ujawnieniu luki.

Poradniki będą wykorzystywane do rozwiązywania problemów pojawiających się między miesięcznymi biuletynami, w tym ujawnień luk w zabezpieczeniach i oszustw związanych z wyłudzaniem informacji.

Poradniki "zajmą się zmianami zabezpieczeń, które mogą nie wymagać biuletyn zabezpieczeń, ale może to wpłynąć na ogólne bezpieczeństwo klientów "- mówi Nick McGrath, szef strategii platformy Microsoftu. "Klienci powiedzieli nam, że chcą bardziej normatywnych i terminowych wskazówek dotyczących kwestii bezpieczeństwa."

W przeszłości firma Microsoft ograniczyła szczegółowe komentarze do miesięcznych biuletynów, reagując na inne problemy krótkimi stwierdzeniami. Widoczna zmiana nastąpiła w zeszłym miesiącu, kiedy kierownik programu MSRC Stephen Toulouse napisał blog MSRC, aby omówić lukę ujawnioną w systemach Windows 2000. Zazwyczaj firma Microsoft stosowała takie dyskusje, aby zmniejszyć wagę niezałatanych błędów.

System doradztwa jest najnowszym osiągnięciem w toczącej się debacie nad tym, w jaki sposób dostawcy oprogramowania i analitycy bezpieczeństwa powinni zbilansować potrzebę informowania użytkowników o lukach w zabezpieczeniach z potrzebą za dyskrecję. Microsoft skrytykował analityków bezpieczeństwa za omawianie luk, zanim łatka zostanie wydana. Ze swojej strony wielu badaczy twierdzi, że ujawnia informacje o lukach w zabezpieczeniach tylko wtedy, gdy nie są w stanie przekonać firmy Microsoft do podjęcia działań.