A Microsoft jelenleg a biztonsági rések kezelésesének folyamata átdolgozásán munkálkodik annak érdekében, hogy vásárlóihoz gyorsabban jutatthassa el javításait, illetve, hogy a szakértők és kutatók könnyebben jelenthessék a felfedezett hibákat. A cég ezen túlmenően az e folyamat keretében begyűjtött adatokat felhasználja majd biztonságos Windows kialakítását megcélzó SWI (Secure Windows Initiate) programja keretében is.

A legjelentősebb változás egy olyan tesztfolyamat bevezetése, amely minden egyes elkészült javítást alapos tesztelésnek vet alá a tényleges kibocsátás előtt. A biztonsági rések foldozásán dolgozó csapat (Microsoft Security Response Center) ezen kívül mindig egy előzetes javítást is küld majd a hibákat felfedező kutatók számára annak kiderítése érdekében, hogy a javítást valóban befoltozza -e teljesen a felfedezett rést.

A cél a regresszív hibák és más kínos problémák elkerülése, amelyekkel a Microsoft az utóbbi időben számos alkalommal volt kénytelen szembenézni. "Az emberek számára a lehető legegyszerűbbé szeretnénk tenni rendszereik biztonságossá tételét", magyarázza Scott Culp, a MSRC vezetője. "Elsősorban a tervezésre és a folyamatok fejlesztésére fókuszálunk."

Egy másik kulcsfontosságú változás egy a hibák bejelentéséhez használható űrlap kialakítása. A múltban a hibákat felfedező kutatók egy e-mailt küldtek a secure@microsoft.com címre, ahol a MSRC csapat egy tagja válaszolt, sokszor egy meglehetősen hosszú levelezési folyamatot elindítva, aminek célja a sebezhetőség ellenőrzésre és a kutatóktól a lehetséges legtöbb információ megszerzése volt. Az új rendszerben a kutatók egy minden kérdést tartalmazó űrlapot tölthetnek ki, amelyek után a Microsoft felveszi velük a kapcsolatot, amennyiben további információkra van szükséges. Természetesen az MSRC továbbra is fogad majd bejelentéseket e-mailben is, de a webes űrlap segíteni fog a válaszidők javításában és a patch-építési folyamatban gyorsításában.

"Az információt jóval gyorsabban kapjuk meg, és így néhány naposra tudjuk majd csökkenteni az információk megfordulásának idejét", mondja Culp. "Amennyiben az emberek nem kapják meg elég gyorsan a javításokat, úgy valami nem működik. Mi megpróbáljuk a patcheket könnyebben kezelhetővé tenni, hogy javíthassuk használhatóságukat."

Az MSRC a jövőben a lehető leggyakrabban fog a hét közepe folyamán patcheket kibocsátani annak érdekében, hogy az IT szervezetek teljes személyzet birtokában képesek lesznek a reagálásra, és a javítások minél előbbi telepítésére. Az SWI csapat, a cég megbízható számítástechnikai környezet kialakítását célzó Trustworthy Computing törekvésének egyik fő hajtómotorja, az MSRC-től fogja átvenni a javítások adatait, aminek segítségével a fejlesztőket a biztonságos kód írásának alaptételeire tanítják majd meg.

Forrás: eWeek