Coordinated Vulnerability Disclosure에 대한 Microsoft 접근 방법

연구원은 Coordinated Vulnerability Disclosure의 원칙에 따라 하드웨어, 소프트웨어 및 서비스에서 새로 발견한 취약성을 영향을 받는 제품의 공급업체에 직접 공개하거나 국가별 CERT 또는 공급업체에 비공개로 신고하는 다른 코디네이터에 공개하거나 또는 공급업체에 비공개로 신고하는 프라이빗 서비스에 공개합니다. 공급업체는 이러한 연구원을 통해 모든 당사자가 자세한 취약성 또는 익스플로잇 정보를 공개하기 전에 진단하고 완전히 테스트된 업데이트, 해결 방법 또는 기타 정정 조치를 제공할 기회를 얻을 수 있습니다. 공급업체는 취약성 조사가 끝날 때까지 계속해서 연구원과 협력하고 사례 진행 상황에 대한 업데이트를 연구원에게 제공합니다. 업데이트 릴리스 시 공급업체는 연구 노력과 비공개 문제 신고에 대해 취약성 발견자를 인정할 수 있습니다. 공급업체가 아직 업데이트 작업을 진행 중인 동안 공격을 받을 경우 연구원과 공급업체는 고객을 보호하기 위해 최대한 긴밀하게 협력하여 취약성을 초기에 공개합니다. 목표는 고객이 자신을 보호할 수 있도록 적시에 일관성 있는 지침을 제공하는 것입니다.

 
CVD에 대한 자세한 내용은 다음 링크에 제공된 정보를 참조하세요.