Automatisering Gids

Het Microsoft Vulnerability Research Program is in de zomer van 2008 van start gegaan. Na afloop van het eerste jaar bleek slechts 13 procent van de kwetsbare plekken die het MSVR-team had gevonden gepatcht te zijn.  Een jaar later is de situatie sterk verbeterd. In juni 2010 was 45 procent van de kwetsbare plekken gepatcht. Maar dat is nog altijd minder dan de helft.

Het MSVR-team merkt vergoelijkend op, dat het patchen vaak ook veel werk is omdat de lekken vaak diep in de software verscholen zitten en daardoor nogal wat herstel- en testwerk vragen. Wat het team niet opmerkt, maar wel een rol kan spelen, is dat in zijn overzicht informatie over de spreiding van de meldingen ontbreekt. Bij een rapportageperiode in jaren maakt het natuurlijk verschil of het probleem pas een maand bekend is, of al 11 maanden.

Uit een nadere analyse van het probleem met de Active Template Library, dat in juli 2009 werd gerapporteerd, blijkt echter wel dat het patchproces bij de softwarepartners beter zou kunnen. Het MSVR-team constateerde dat 37 partners getroffen waren door het probleem, dat verscholen zat in Microsofts ontwikkeltool Visual Studio. Het probeerde de patch-inspanningen van Microsoft en de partners te coördineren. Doel daarvan was dat het lek gedicht zou zijn op het moment dat het bekend werd. Van de 37 betrokken leveranciers slaagden daar slechts 12 in, ondanks aanmerkelijke inspanningen van Microsoft. Nog eens 6 kozen voor de uitschakeloptie, die het probleem omzeilde op straffe van enig verlies aan functionaliteit.

Conclusie van het team: ‘Ondanks de positieve ervaringen in het algemeen, laat de reactie op het ATL-probleem zien dat de software-industrie nog veel werk moet verzetten om tot een gemeenschappelijke, consistente aanpak te komen bij het oplossen van kwetsbaarheden'.

Het rapport is gepubliceerd op de website van Microsoft.