.NET Security Group: Partnerunternehmen erhalten frühzeitig Security-Patches

Microsoft hat eine Erweiterung der .NET Security Group angekündigt. Bisher lief diese als private Gruppe und war nur auf Einladung zugänglich. Nun können sich jedoch Unternehmen, die ihre eigene Distribution von .NET ausliefern, um eine Mitgliedschaft bewerben – und vom Vorteil profitieren, früher als die Öffentlichkeit von erkannten Sicherheitslücken zu erfahren und Patches zu erhalten.

Die .NET Security Group mit den aktuellen Mitgliedern Canonical, IBM, Red Hat und Microsoft existiert bereits seit 2016. Das von Microsoft geführte .NET-Projekt veröffentlicht an den meisten Monaten am Patch Tuesday Informationen zu bekannten Sicherheitslücken und Fixes – so auch diesen Monat. Mitglieder der .NET Security Group erfahren jedoch schon rund eine Woche früher von bekannten Bedrohungen und erhalten entsprechende Patches, sodass sie ihre Binary-Pakete zur gleichen Zeit wie Microsoft bauen, validieren und veröffentlichen können.

Mitgliedschaft erfordert Vertrauen

Wie Microsoft auf seinem Entwicklerblog betont, erfordern die sensiblen Informationen ein hohes Maß an Vertrauen gegenüber den Partnern in der .NET Security Group. Nachdem Unternehmen das Bewerbungsformular eingereicht haben, findet daher zunächst eine Überprüfung der potenziellen neuen Mitglieder statt, die basierend auf dem Umfang der eingereichten Informationen meist einige Tage bis Wochen dauern soll. Zu den Kriterien zählen die Unternehmensauthentizität, Sicherheitsrisiken und mögliche Handelssanktionen. Jährlich prüft Microsoft die Mitglieder erneut und fordert unter Umständen weitere Informationen an.

Zugelassene Mitglieder müssen eine Programmvereinbarung über die Bedingungen der Mitgliedschaft unterschreiben, und zusätzlich ein Non-Disclosure Agreement (NDA) mit Microsoft, sofern noch nicht vorhanden.

(mai)