Skip to main content
MSRC

透明性の向上に向けて : 機械で読み取りが可能な CSAF ファイルの公開

Japan Security Team
/ By Japan Security Team / / 5 min read

本ブログは Toward greater transparency: Publishing machine-readable CSAF files の抄訳版です。最新の情報は原文を参照してください。 



Microsoft Security Response Center (MSRC) の透明性に関するブログシリーズの第 3 回へようこそ。この継続的なディスカッションでは、包括的な脆弱性情報をお客様に提供するための約束について説明します。 

MSRC の使命は、セキュリティとプライバシーに対する現在および新たな脅威から、お客様、コミュニティ、および マイクロソフトを保護することです。前回のブログ記事では、お客様自身が緩和策を実施する必要がない場合でも、透明性を高めるために新しいクラウドサービスの CVE を公開することを発表しました。本日、マイクロソフトは、すべての Microsoft CVE 情報に Common Security Advisory Framework (CSAF) と呼ばれる新しい標準的な機械可読形式を追加し、お客様が CVE への対応と修復を迅速化できるように支援します。 

CSAF ファイルは、人間よりもコンピューターによって処理することを目的にしています。そのため、CSAF ファイルは既存を置き換えるのではなく、新たな CVE データチャネルとして追加しています。お客様は、セキュリティ更新プログラム ガイド または脆弱性データを提供するための歴史的な標準である Common Vulnerability Reporting Framework (CVRF) に基づく API を介して、マイクロソフトの CVE を引き続き使用できます。また、CVE 情報の最新のアップデートや変更に関する通知を メールRSS フィード で受け取ることもできます。 

CSAF と関連事項の背景 : CSAF は Oasis によって管理および保守されています。これは、マイクロソフトが 2004 年から CVE 情報を公開するために使用している CVRF に代わるものです。 CVRF は ICASI によって管理され、2021年に First.org によって採用されました。 IETF によって公開された RFC 9116 では、security.txt ファイルについて説明しています。このテキストファイルは、世界中の企業によって公開および管理されており、その企業に関するセキュリティ情報を見つける方法を説明しています。以下は、マイクロソフトの security.txt ファイルへのリンクです。このファイルでは、 CSAF ファイルの保存場所を一般に公開しています。 


Security.txt file 

# Our security acknowledgements page
Acknowledgments: https://msrc.microsoft.com/update-guide/acknowledgement

# Canonical URI
Canonical: https://www.microsoft.com/.well-known/security.txt

# Our Researcher Portal
Contact: https://msrc.microsoft.com/report/vulnerability/new

# Our email address
Contact: mailto:secure@microsoft.com

# Our PGP Key
Encryption: https://www.microsoft.com/en-us/msrc/pgp-key-msrc

Expires: 2025-10-10T16:00:00.000Z

# Our Bounty policy
Policy: https://www.microsoft.com/en-us/msrc/bounty/

# Our Coordinated Vulnerability Disclosure Policy
Policy: https://www.microsoft.com/en-us/msrc/cvd
 
# Our Bounty Legal Safe Harbor Policy
Policy: https://www.microsoft.com/en-us/msrc/bounty-safe-harbor

# Our Common Security Advisory Framework (CSAF) publications
CSAF: https://msrc.microsoft.com/csaf/provider-metadata.json

Preferred-Languages: en

また、セキュリティ更新プログラムガイドから CSAF ディレクトリへのリンクも追加しました。 :  

A screenshot of a computer Description automatically generated  

これは、製品に組み込まれたオープンソースソフトウェアを含むサプライチェーン全体で対処および解決する脆弱性とサプライチェーンに関する透明性を継続的に向上させるための旅の始まりです。私たちは、同じ業界の他企業と協力し、取り組んでいます。なぜなら、多くの点で私たちは共に製品を作り、相互接続された世界のニーズを満たすためには私たち全員が協力する必要があるからです。 

従来通り、セキュリティ更新ガイドの各CVEページの下部にある評価バナーをクリックして、フィードバックをお待ちしております。 

“Feedback rating system rating from broken to great!”  

Lisa Olson, Principal Program Manager, Security Release

Next Post

Related Posts

How satisfied are you with the MSRC Blog?

Rating

Feedback * (required)

Your detailed feedback helps us improve your experience. Please enter between 10 and 2,000 characters.

Thank you for your feedback!

We'll review your input and work on improving the site.