У Microsoft підготували документ Security Servicing Commitments for Windows, в якому компанія розповіла про свої зобов’язання відносно глюків у своїй ОС. У ньому розповідається, які з них програмісти будуть виправляти, а які залишаться без уваги.
Документ оприлюднили 12 червня, і його головними читачами в Microsoft називають експертів з кібербезпеки. Він повинен дати їм чіткіше розуміння особливостей безпеки, обмеження та процеси, які існують у Windows, а також зобов’язання з обслуговування, які йдуть разом з ними. «Ми в основному зацікавлені у зворотному зв’язку щодо нашої сервісної політики і того, чи наші критерії здаються вам, дослідникам, логічними», – йдеться в описі документа.
У Microsoft пояснюють, що при знаходженні чергового бага потрібно відповісти на два питання:
- чи порушує знайдена вразливість обіцянки, які зроблені кордонами чи особливостями безпеки, що Microsoft захищає?
- чи відповідає нагальність вразливості заданому рівню для її виправлення?
У компанії кажуть, що стверджувальна відповідь на обидва питання означає, що знайдений баг передадуть у розробку та випустять на нього патч для усіх підтримуваних продуктів. Microsoft надасть апдейт якомога швидше.
Якщо відповідь хоча б на якесь питання буде «ні», тоді виправлення вразливості відкладуть до випуску чергового релізу або нової версії. Через систему розповсюдження апдейтів безпеки патч на баг не надходитиме. Хоча Microsoft допускає винятки, залишаючи за собою право виправляти діри в деяких випадках.
Документ також показує, як у Microsoft розглядають знайдені баги. Існує п’ять рівнів: критичний, важливий, середній, низький та жодного. Компанія лагодитиме лише критичні та важливі баги.
