協調的な脆弱性の公開に対する Microsoft のアプローチ

協調的な脆弱性の公開という原則の下で、研究者は、ハードウェア、ソフトウェア、サービスで新たに見つかった脆弱性を、影響を受ける製品のベンダー、国立の CERT、ベンダーに非公式な報告を行う他の調整役、同様にベンダーに非公式な報告を行う民間サービスに直接開示します。研究者は、第三者が脆弱性の詳細や悪用に関する情報を公開する前に、ベンダーが脆弱性を診断して十分にテストされた更新プログラム、回避策、その他の修正手段を提供できるようにします。ベンダーは、脆弱性の調査を通じて研究者との連携を継続し、問題の処理状況に関する最新情報を研究者に提供します。更新プログラムがリリースされると、その問題を調査して非公式に報告したことに対し、ベンダーが発見者を表彰する場合があります。攻撃が既に出回っている状況で、ベンダーが更新プログラムの作業を続けている場合、研究者とベンダーの双方は可能な限り緊密に連携して、顧客を保護するために早期に脆弱性を公表します。その目的は、タイムリーで一貫性のあるガイダンスを提供して顧客が自身を防御できるようにすることです

 
CVD の詳細については、次のリンクに記載されている情報をご確認ください。