Microsoft объяснила свой принцип классификации уязвимостей

Microsoft объяснила свой принцип классификации уязвимостей

Microsoft опубликовала два документа, описывающие внутренние процедуры классификации и приоритизации уязвимостей.

Компания Microsoft впервые за всю историю приоткрыла завесу над тем, как она классифицирует уязвимости в Windows. В понедельник, 10 сентября, Центр реагирования на проблемы безопасности Microsoft (Microsoft Security Response Center, MSRC) опубликовал два документа, в которых описываются внутренние процедуры, использующиеся сотрудниками компании для классификации и приоритизации уязвимостей.

MSRC предоставил сообществу исследователей безопасности черновики документов еще в июне. Окончательные версии, содержащие много новой информации, были опубликованы вчера.

Первый документ представляет собой web-страницу под названием Microsoft Security Servicing Criteria for Windows. Здесь содержится информация о том, какие функции Windows обычно обслуживаются через ежемесячные плановые обновления, а какие отправляются главной команде разработчиков Windows для добавления в полугодовые обновления.

Второй документ – это PDF-файл , описывающий процедуру определения опасности уязвимостей, о которых сообщают исследователи. Документ объясняет, какие уязвимости могут считаться критическими, а какие – важными, средней важности и маловажные.

Все еще проверяете уязвимости после сборки ПО?

8 июля CICADA8 покажет, как делать это до CI/CD — быстро, чётко, безопасно.

Реклама. 18+. Рекламодатель ООО «АЙТИПИ Сервисы», ИНН 7708719821