Microsoft организовала блог, посвященный безопасности, в котором будут публиковаться технические подробности об исследовании уязвимостей и о выпускаемых компанией секьюрити-обновлениях.
Открывшийся в четверг блог Security Vulnerability Research and Defense содержит техническую информацию и описание способов, которыми специалисты по безопасности могут защитить организацию от последствий уязвимостей. Эта информация будет обновляться каждый второй вторник месяца, так называемый «вторник патчей», когда Microsoft выпускает секьюрити-обновления для Windows и другого ПО.
"Исследуя уязвимости, мы находим много интересного, - говорится в первом постинге блога Microsoft. - Мы хотим по возможности делиться этой информацией с вами, так как считаем, что, помогая понять причины уязвимостей, суть обходных маневров и детали мер по устранению этих уязвимостей, мы будем способствовать более эффективной защите ваших организаций".
При исследовании проблем безопасности обнаруживаются данные, которые не входят в официальные секьюрити-бюллетени, но имеют важное значение, пишет компания. Такие технические сведения будут содержать, например, описание ситуаций или векторов атак, когда обходные пути могут не достигать 100%-й эффективности, помогают только при определенной атаке или настолько сложны, что их нельзя рекомендовать всем заказчикам.
Кроме того, компания будет публиковать описание мер, которые могут помогать не во всех случаях, практические рекомендации, применимые только к определенной уязвимости, и "интересные факты" об исправленных уязвимостях, которые могут помочь заказчикам узнать больше о Windows, инфраструктуре системы безопасности или о способах проведения компанией своих исследований.
Там будут также приемы отладки, сведения о том, как классифицировать уязвимости, и обзоры некоторых проблем, с которыми компания сталкивается при исправлении тех или иных багов. Однако Microsoft включила текст об освобождении от ответственности, где говорится, что секьюрити-бюллетени или рекомендации остаются "неоспоримым авторитетом".
Блоги будут вести, в частности, главный инженер по программному обеспечению безопасности Microsoft Дамиан Хассе и руководитель группы защиты Secure Windows Initiative Джонатан Несс. В первом постинге обсуждаются патчи MS07-063 и MS07-065, выпущенные 11 декабря.