Microsoft подала заявку на включення її до списку розробників дистрибутивів Linux, що мають доступ до даних про невиправлені уразливості.
Зараз Microsoft фактично і так вже є розробником дистрибутивних збірок, які базуються на компонентах з відкритим вихідним кодом. До таких зокрема відноситься ОС для IoT-пристроїв Azure Sphere, підсистема для Linux v2, служби Azure HDInsight і Azure Kubernetes Service.
У список розробників дистрибутивів Linux, що мають доступ до закритої інформації про уразливість в ядрі, входять Canonical, Debian, Red Hat, SUSE. А також хмарні провайдери Amazon Web Services (AWS) і Oracle. Перераховані вище організації обмінюються даними про невиправлені уразливості до їх публікації і обговорюють можливі способи усунення. На внесення пропозицій про методи виправлення уразливостей учасникам обговорення відводиться 7-14 днів, а після закінчення цього терміну інформація стає загальнодоступною.
“У Microsoft є багаторічний досвід виправлення проблем безпеки через MSRC. Хоча ми можемо створити збірку для виправлення розкритої уразливості дуже швидко (<1-2 годин), перед тим, як випустити її у відкритий доступ, потрібне серйозне тестування і перевірка. Включення нас в цей мейл-лист забезпечить нам додатковий час, необхідний для проведення повноцінного тестування”, – пояснив головний розробник ядра Linux в Microsoft Саша Левін.
Автор публікації
