‘සියලුම Security Bugs වර්ගයෝ, fix නොකළ යුතුය’ – Microsoft

‘සියලුම Security Bugs වර්ගයෝ, fix නොකළ යුතුය’ – Microsoft

442
0
SHARE

මේක ටිකක් වෙනස් වර්ගයේ කතාවක්. Microsoft විසින් පසුගිය දවසක නිකුත් කරනු ලැබුවා document එකක්. මේ document එකෙන් කියවුනේ Security කියන පුළුල් මාතෘකාව Windows කට්ටිය දකින්නේ මොන විදිහටද? මේ හැම bug එකක්ම fix වෙන්න ඕනෙද සහ මේ bugs වල එක් එක් මට්ටම් පිලිබදව.

Microsoft Security Response Center එක විසින් තම පාරිභෝගිකයන්ගේ ආරක්ෂාව තහවුරු කිරීම සඳහා පවත්වාගෙන යනු ලබන වැඩපිළිවෙල ගැන, වගේම ඔවුන්ට vulnerabilities පිලිබදව ලැබෙන පැමිණිලි විභාග වෙන්නේ කොහොමද කියන කරුණු ගැන තමයි මේ  ලිපියේ සදහන් වෙන්නේ. vulnerability එකක් ගැන දැනගත් ගමන්ම එය fix කල යුතුද? නැත්නම් කාලයට එය බාරදිය යුතුද යන්න තීරණය කළ යුතු වෙනවා. මෙහිදී ප්‍රශ්න දෙකක් ඔබට ලැබෙනවා. මෙය Microsoft විසින් ලබාදෙන බවට පොරොන්දු වී ලබා නොදුන් සේවාවක්ද තවත් විදිහකට කියනවනම් “Does the vulnerability violate a promise made by a security boundary or a security feature that Microsoft has committed to defending?” කියන කරුණ ඒ වගේම severity of the vulnerability meet the bar for servicing කියන ගැටලුව… මේ දෙකටම ඔබේ පිළිතුර ‘ඔව්’ නම් මේ Bug එක අනිවාර්යයෙන්ම Security Update එකක් මගින් නිවැරදිව සැකසේවි. සිතන්න මේ ගැටළු දෙකටම පිළිතුර ‘නැත’ යන්න නම් මීලග release එකේදී එය සකසා පාරිභෝගිකයාට හිමි වනු ඇති.

Security Goal එකක් කරා ගමන් කිරීමේදී Security Boundaries හා සකසා ගෙන එකතු කරගත යුතු Security Features වෙන වෙනම පවතිනවා. Security Boundary එකක්, code එක හා Security Domain එකක් අතර තිබෙන විශ්වාසය වර්ධනය කරන්න පාවිච්චි කරන එක පාලමක් කියන්න පුළුවන්. Network Boundary, Kernel Boundary, Process Boundary, AppContainer sandbox boundary, Session Boundary, Web Browser Boundary, Virtual Machine Boundary, Virtual Secure Mode Boundary විදිහට ප්‍රධාන කොටස් වලට මේ Security Boundary බෙදන්න පුළුවන්. Security Feature එකක් මගින් කරන්නේ threat එකකට හෝ කිහිපයකට ආරක්ෂාව සැපයීමක්. Microsoft විසින් ලබාදෙන බවට ප්‍රකාශ කල ප්‍රධාන Security Features වල Category වශයෙන් දැක්වුවොත් Device Security, Platform Security, Application Security, Identity and Access Control, Cryptography API, Health Attestation, Authentication Protocols වගේ කරුණු මේකට අයිති වෙන්නේ. තව දුරටත් Category කරන්න පුළුවන් Defense in depth Security Features යටතේ. මේ කොටසට add වෙන කොටස් වලට සේවාවන් සපයන්නේ future version හෝ release එකකදී. User Safety, Exploit Mitigations, Platform Lockdown විදිහට මේ  Defense in depth Security Features වර්ගීකරණය වෙනවා.

Vulnerability එකක මට්ටම අනුව මේවට අදාල වෙන priority එක තීරණය වෙනවා. ඔවුන් මේ vulnerabilities Critical, Important, Moderate, Low හා none විදිහට වර්ගීකරණයකට ලක් කරලයි තියෙන්නේ. මේ සෑම කොටසකටම අයිති වෙන කොටස් මෙතනින් ලැබෙන PDF එක මගින් දැනගන්න පුළුවන්.

නැවත හමුවෙමු…

Source : https://www.zdnet.com/article/windows-security-heres-why-we-dont-fix-some-bugs-right-away-microsoft-reveals/

Comments

comments

NO COMMENTS

LEAVE A REPLY