Principi per la pubblicazione di CVEsPrinciples for publishing CVEs

L'obiettivo di Microsoft è premiare i ricercatori della sicurezza che hanno un interesse per Azure Sphere per individuare potenzialmente le vulnerabilità, seguendo la creazione di report responsabili sulla divulgazione coordinata delle vulnerabilità di Microsoft e il programma di Microsoft Azure Bounty.Microsoft's goal is to reward security researchers who have an interest in Azure Sphere for potentially finding vulnerabilities, following responsible reporting based on Microsoft's Coordinated Vulnerability Disclosure and the Microsoft Azure Bounty Program. Il team di Azure Sphere accoglie e riconosce la community di ricerca della sicurezza per il proprio lavoro e aiuta a mantenere la soluzione sicura nel tempo.The Azure Sphere team welcomes and acknowledges the security research community for their work and help in keeping our solution secure over time.

Microsoft vuole essere trasparente sui miglioramenti apportati alla sicurezza e include la pubblicazione di vulnerabilità e esposizioni comuni (CVEs) per le vulnerabilità che sono state corrette nelle versioni correnti o precedenti del sistema operativo Azure Sphere.We want to be transparent about our security improvements, and this includes the publication of common vulnerabilities and exposures (CVEs) for vulnerabilities that have been fixed in current or previous versions of the Azure Sphere OS. CVEs per il sistema operativo vengono pubblicati solo quando è disponibile una correzione.CVEs for the OS are only published once a fix is available. Tutti i dispositivi che eseguono Azure Sphere e connessi a una rete vengono aggiornati automaticamente.Any device that is running Azure Sphere and is connected to a network is automatically updated. I dispositivi che eseguono la versione più recente sono pertanto sempre protetti.Devices that are running the latest version are therefore always protected. Altre informazioni su CVEs già pubblicate sono disponibili nella Guida all'aggiornamento della sicurezza e in novità per la versione in cui è stata corretta la vulnerabilità.More information on CVEs that have already published can be found in the Security Update Guide and in What's new for the release at which the vulnerability was fixed.

È possibile pubblicare CVEs per le vulnerabilità nel sistema operativo Azure Sphere che possono essere sfruttate "predefinite", in un periodo offline esteso o prima di una connessione al servizio di sicurezza Azure Sphere.CVEs may be published for vulnerabilities in the Azure Sphere OS that can be exploited "out of the box", in an extended offline period, or before a connection to the Azure Sphere Security Service is made. Le vulnerabilità nelle applicazioni dei clienti non rientrano nell'ambito per l'assegnazione di un CVE.Vulnerabilities in customer applications are out of scope for assigning a CVE. CVEs per software di terze parti sono responsabili del rispettivo produttore.CVEs for third-party software are the responsibility of the respective manufacturer. Le informazioni vengono documentate in What ' s New (novità).We will document them in What's new.

I tipi di vulnerabilità per i quali viene pubblicato CVEs possono essere descritti in tre modi:The types of vulnerabilities for which we publish CVEs can be described in three ways:

  • Effetto preventivo: vulnerabilità correlate a quando un dispositivo Azure Sphere è spento e non esegue una funzione che potrebbe essere sfruttata durante l'attivazione e la configurazione del dispositivo.Pre-emptive Impact: Vulnerabilities related to when an Azure Sphere device is powered off and not performing a function that could be exploited while bringing the device up and configuring it.
  • Effetto invisibile: vulnerabilità correlate a quando un dispositivo Azure Sphere sta eseguendo attivamente una funzione, ma non è connesso al servizio di sicurezza Azure Sphere per gli aggiornamenti che potrebbero essere sfruttati senza compromettere la funzione del dispositivo principale.Invisible Impact: Vulnerabilities related to when an Azure Sphere device is actively performing a function, but is not connected to the Azure Sphere Security service for updates that could be exploited without disrupting primary device function.
  • Influire negativamente sulle vulnerabilità che impediscono a un dispositivo Azure Sphere di ricevere un aggiornamento automaticamente o attivare un rollback dell'aggiornamento.Disruptive Impact: Vulnerabilities that would prevent an Azure Sphere device from receiving an update automatically or would trigger an update rollback.