Microsoft ha rilasciato il Patch day di luglio con sette aggiornamenti di sicurezza. Sei delle sette vulnerabilità sono contrassegnate come "importanti" e sono a rischio di esecuzione di codice da remoto. Microsoft ha annunciato una nuova politica per il modo in cui si occuperà delle vulnerabilità nelle applicazioni disponibili attraverso Windows Store, Windows Phone Store, Office Store e Azure Marketplace (WAM). Microsoft sta facendo questo per aiutare a proteggere i clienti e per garantire che le applicazioni disponibili nei suoi negozi siano più sicuri possibile.
La politica, che è immediatamente efficace, richiede agli sviluppatori di correggere le vulnerabilità di sicurezza nelle loro applicazioni e consente a Microsoft di rimuovere una app dalla vendita se il committente non fornisce una soluzione efficace. Il requisito si applica a tutte le applicazioni disponibili nei negozi online, tra cui le applicazioni Microsoft. La nuova politica è parte di uno sforzo di Microsoft per contribuire a garantire che i clienti possono avere fiducia nella sicurezza del software che è disponibile nei suoi negozi online.
Questo include la fiducia confidando che gli sviluppatori possano rispondere in modo appropriato quando viene scoperta una vulnerabilità di sicurezza. Microsoft ha una lunga storia di collaborazione con gli sviluppatori di terze parti e ricercatori per risolvere le vulnerabilità di sicurezza. Quando i ricercatori Microsoft trovano le vulnerabilità in applicazioni, lavora direttamente con gli sviluppatori di app mediante il programma di ricerca vulnerabilità di Microsoft (MSRC).
Finora, Microsoft ha avuto un'ottima collaborazione da parte degli sviluppatori nel fissare le vulnerabilità nei loro programmi. Il cambiamento di politica è solo un altro passo che sta compiendo per contribuire a garantire che le vulnerabilità vengano affrontate in modo appropriato. Nell'ambito della politica, gli sviluppatori avranno un massimo di 180 giorni di tempo per presentare un app aggiornata per le vulnerabilità di sicurezza che non sono sotto attacco attivo e sono di livello critico o importante a seconda del Microsoft Security Response Center rating system.
L'applicazione aggiornata deve essere presentata al negozio entro 180 giorni dalla prima relazione che riproduce il problema. Microsoft si riserva il diritto di agire rapidamente in tutti i casi, che possono includere la rimozione immediata delle app dal negozio, ed esercita la sua discrezionalità, caso per caso. Microsoft si aspettia che gli sviluppatori potranno affrontare tutte le vulnerabilità molto più velocemente di 180 giorni. Ad oggi, nessuna applicazione si è avvicinata a superare tale termine.
Tuttavia, Microsoft può fare delle eccezioni, come ad esempio relativamente ai problemi che affliggono più sviluppatori o sono di natura architettonica, in cui tale azione è vietata dalla legge, oppure a discrezione di Microsoft. Questa politica non modifica gli accordi di sviluppo esistenti e Microsoft potrà cancellare le applicazioni per altri motivi in base a tali accordi. Se avete scoperto una vulnerabilità in un'applicazione del negozio e avete tentato senza successo di lavorare con lo sviluppatore per affrontarla, è possibile richiedere assistenza contattando secure@microsoft.com.
Fonte: Microsoft
Nessun commento:
Posta un commento