В Microsoft подготовили документ Security Servicing Commitments for Windows, в котором компания рассказала о своих обязательствах относительно глюков в своей ОС. В нем рассказывается, какие из них программисты будут исправлять, а какие останутся без внимания.
Документ обнародовали 12 июня, и его главными читателями в Microsoft называют экспертов по кибербезопасности. Он должен дать им более четкое понимание особенностей безопасности, ограничений и процессов, которые существуют в Windows, а также обязательств по обслуживанию, которые идут вместе с ними. «Мы в основном заинтересованы в обратной связи относительно нашей сервисной политики и того, кажутся ли наши критерии вам, исследователям, логичными», – говорится в описании документа.
В Microsoft объясняют, что при нахождении очередного бага нужно ответить на два вопроса:
- нарушает ли найденная уязвимость обещания, которые сделаны границами или особенностями безопасности, которые Microsoft защищает?
- соответствует ли актуальность уязвимости заданному уровню для ее исправления?
В компании говорят, что положительный ответ на оба вопроса означает, что найденный баг передадут в разработку и выпустят на него патч для всех поддерживаемых продуктов. Microsoft предоставит апдейт как можно скорее.
Если ответ хотя бы на какой-то вопрос будет «нет», тогда исправление уязвимости отложат до выпуска очередного релиза или новой версии. Через систему распространения апдейтов безопасности патч на баг не будет поступать. Хотя Microsoft допускает исключения, оставляя за собой право исправлять дыры в некоторых случаях.
Документ также показывает, как в Microsoft рассматривают найденные баги. Существует пять уровней: критический, важный, средний, низкий и ни одного. Компания будет чинить только критические и важные баги.
