Azure Sphere CES

Microsoft 的目标是根据 Microsoft 的 协调漏洞披露 原则和 Microsoft Azure 赏金计划，奖励对 Azure Sphere 感兴趣的安全研究人员查找潜在漏洞并负责任地报告这些漏洞。 Azure Sphere 团队欢迎并感谢安全研究社区的工作，并帮助确保解决方案随时间推移的安全。

我们希望在安全改进方面具有透明度。 我们与 CVE 计划 合作，发布常见漏洞和暴露 (CVE) ，这些漏洞已在 Azure Sphere OS 的当前版本或早期版本中修复。

发布 CVE 对客户的影响

OS 的 CVE 仅在修补程序可用后发布。 运行 Azure Sphere 并连接到 Internet 的任何设备都会自动更新。 因此，运行最新版本的设备始终受到保护。 对于新设备或一段时间未连接到 Internet 的设备 (例如，当 OS 版本早于包含修复) 的 OS 版本时，我们建议将设备连接到具有 Internet 访问权限的安全专用本地网络，并允许设备自动更新自身。

发布 CVE 的原则

CES 可能会针对 Azure Sphere OS 中的漏洞发布，这些漏洞可以在较长的脱机期间或在连接到 Azure Sphere 安全服务之前“现成”利用。 客户应用程序中的漏洞在分配 CVE 的范围内。 第三方软件的 CVE 由相应制造商负责。

我们发布 CVE 的漏洞类型可以通过三种方式描述：

• 先发制人的影响： 与 Azure Sphere 设备关闭和未执行在启动和配置设备时可能利用的功能相关的漏洞。
• 无形影响： 与 Azure Sphere 设备主动执行某个功能但未连接到 Azure Sphere 安全服务时相关的漏洞，以便在不中断主设备功能的情况下利用这些更新。
• 中断性影响： 阻止 Azure Sphere 设备自动接收更新或触发更新回滚的漏洞。

Azure Sphere CES 的内容

Azure Sphere 的 CVE 包括基于常见漏洞评分系统的简要说明和评分 ， (CVSS) 、 可利用性指数评估、特定于 Azure Sphere 的常见问题解答，以及对报告该漏洞的查找者的确认。 此内容在每个 CVE 中是必需的，并且包含在 Microsoft 产品的所有 CVE 中。

发布 Azure Sphere CVE 时

CVE 记录将在当月的第二个星期二发布， (microsoft 补丁星期二) 向客户提供修补程序 后 。 我们希望每当向我们报告漏洞时，都会不定期发布 CVE，符合此处所述的原则，并在 Azure Sphere OS 的最新版本中得到修复。 在修补程序公开发布之前，我们不会发布 CVE。

如何查找 Azure Sphere CES

若要查找 Azure Sphere 的所有已发布 CVE 的列表，请使用“Sphere”作为安全更新指南中的关键字 (keyword) 搜索。

已发布的 Azure Sphere CES 也列在修复漏洞的版本中的 新增 功能中。