Bagikan melalui

CV Azure Sphere

  • Artikel

Tujuan Microsoft adalah untuk memberi penghargaan kepada peneliti keamanan yang memiliki minat di Azure Sphere untuk menemukan potensi kerentanan dan melaporkannya secara bertanggung jawab sesuai dengan prinsip Pengungkapan Kerentanan Terkoordinasi Microsoft dan Program Microsoft Azure Bounty. Tim Azure Sphere menyambut baik dan mengakui komunitas riset keamanan untuk pekerjaan mereka dan membantu menjaga solusi kami tetap aman seiring waktu.

Kami ingin transparan tentang penyempurnaan keamanan kami. Kami bermitra dengan Program CVE untuk menerbitkan kerentanan dan eksposur umum (CVEs) untuk kerentanan yang telah diperbaiki dalam versi os Azure Sphere saat ini atau sebelumnya.

Dampak pelanggan dari penerbitan CVEs

CVEs untuk OS hanya diterbitkan setelah perbaikan tersedia. Perangkat apa pun yang menjalankan Azure Sphere dan tersambung ke Internet diperbarui secara otomatis. Oleh karena itu, perangkat yang menjalankan versi terbaru selalu dilindungi. Untuk perangkat yang baru atau belum tersambung ke Internet untuk sementara waktu (misalnya, ketika versi OS lebih lama dari versi OS yang berisi perbaikan), sebaiknya sambungkan perangkat ke jaringan lokal yang aman dan privat dengan akses Internet dan memungkinkan perangkat memperbaruinya secara otomatis.

Prinsip-prinsip untuk menerbitkan CVEs

CVEs mungkin diterbitkan untuk kerentanan di Azure Sphere OS yang dapat dieksploitasi "out of the box", dalam periode offline yang diperpanjang, atau sebelum koneksi ke Azure Sphere Security Service dibuat. Kerentanan dalam aplikasi pelanggan di luar lingkup untuk menetapkan CVE. CVEs untuk perangkat lunak pihak ketiga adalah tanggung jawab masing-masing produsen.

Tipe kerentanan yang dapat kami terbitkan CVEs dapat dijelaskan dalam tiga cara:

  • Dampak Pre-emptive: Kerentanan terkait ketika perangkat Azure Sphere dimatikan dan tidak menjalankan fungsi yang dapat dieksploitasi sambil memunculkan perangkat dan mengonfigurasinya.
  • Dampak Tak Terlihat: Kerentanan terkait ketika perangkat Azure Sphere secara aktif menjalankan fungsi, tetapi tidak tersambung ke layanan Azure Sphere Security untuk pembaruan yang dapat dieksploitasi tanpa mengganggu fungsi perangkat utama.
  • Dampak Gangguan: Kerentanan yang akan mencegah perangkat Azure Sphere menerima pembaruan secara otomatis atau akan memicu pembatalan pembaruan.

Konten CV Azure Sphere

CVEs untuk Azure Sphere terdiri dari deskripsi singkat dan skor berdasarkan sistem Penilaian Kerentanan Umum (CVSS), penilaian indeks eksploitasibilitas, FAQ khusus Azure Sphere, dan pengakuan kepada pencari yang melaporkannya. Konten ini diperlukan di setiap CVE dan disertakan untuk semua CVE untuk produk Microsoft.

Saat CV Azure Sphere diterbitkan

Data CVE akan diterbitkan pada Selasa kedua dalam sebulan (alias Microsoft Patch Selasa) setelah perbaikan telah tersedia untuk pelanggan. Kami berharap CVEs diterbitkan secara tidak teratur setiap kali kerentanan dilaporkan kepada kami, memenuhi prinsip-prinsip yang dijelaskan di sini, dan diperbaiki dalam versi terbaru Azure Sphere OS. Kami tidak akan menerbitkan CVEs sebelum perbaikan tersedia untuk umum.

Cara menemukan CV Azure Sphere

Untuk menemukan daftar semua CVEs yang diterbitkan untuk Azure Sphere, gunakan "Sphere" untuk pencarian kata kunci dalam Panduan Pembaruan Keamanan.

CV Azure Sphere yang diterbitkan juga tercantum dalam Yang baru untuk rilis di mana kerentanan telah diperbaiki.