Microsoft описала, какие уязвимости не будет исправлять
Компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе.
Microsoft опубликовала документ «Security Servicing Commitments for Windows» («Обязательства по обеспечению безопасности для Windows»), в котором компания рассказала о своих обязательствах касательно исправления уязвимостей в операционной системе. В частности, в документе описано, какие именно проблемы программисты Microsoft будут исправлять, а какие останутся без внимания. Документ призван дать экспертам по кибербезопасности более четкое понимание особенностей, ограничений и процессов в ОС Windows, а также пояснить обязательства по обслуживанию, которые берет на себя компания.
«Мы заинтересованы в обратной связи когда дело касается нашей сервисной политики, и надеемся, что наши критерии покажутся вам, исследователям, логичными», — следует из документа.
Как пояснили в Microsoft, при обнаружении очередной уязвимости действуют два критерия оценки:
— Угрожает ли найденая уязвимость особенностям операционной системы, которые Microsoft защищает?
— Достигает ли опасность уязвимости определенного уровня?
Утвердительный ответ на оба вопроса означает, что о проблемой займутся программисты Microsoft, а исправления для всех поддерживаемых продуктов будут выпущены в кратчайшие сроки.
Если ответ хотя бы на один из вопросов будет «нет», тогда компания отложит исправление уязвимости до выпуска новой версии ОС. В документе также описаны уровни опасности уязвимостей: «критический», «высокий», «средний», «низкий» и «нулевой». Компания будет исправлять только уязвимости уровня «критический» и «высокий».