Компания Microsoft подала заявку на включение ее в список разработчиков дистрибутивов Linux, имеющих доступ к данным о неисправленных уязвимостях. Microsoft фактически и так уже является разработчиком дистрибутивных сборок, базирующихся на компонентах с открытым исходным кодом. К таковым в частности относится ОС для IoT-устройствAzure Sphere, подсистема для Linux v2, службы Azure HDInsight и Azure Kubernetes Service.
В список разработчиков дистрибутивов Linux, имеющих доступ к закрытой информации об уязвимостях в ядре, входят Canonical, Debian, Red Hat, SUSE, а также облачные провайдеры Amazon Web Services (AWS) и Oracle. Вышеперечисленные организации обмениваются данными о неисправленных уязвимостях до их публикации и обсуждают возможные способы устранения. На внесение предложений о методах исправления уязвимостей участникам обсуждения отводится 7-14 дней, а по истечении этого срока информация становится общедоступной.
«У Microsoft есть многолетний опыт исправления проблем безопасности через MSRC. Хотя мы можем создать сборку для исправления раскрытой уязвимости очень быстро (<1-2 часов), перед тем, как выпустить ее в открытый доступ, требуется серьезное тестирование и проверка. Включение нас в данный мейлинг-лист обеспечит нам дополнительное время, необходимое для проведения полноценного тестирования», -пояснил главный разработчик ядра Linux в Microsoft Саша Левин.
Источник: securitylab.ru