在近期的网络安全动态中,微软宣布对中国公司获取其网络安全漏洞的早期通知进行了限制。这一决定是在公司调查中共黑客是否利用其警报系统提前获知SharePoint软件漏洞的背景下作出的。
微软发言人表示,作为安全措施,自七月份起,微软已对需要向政府报告漏洞的国家的公司,尤其是中国,实施了新的限制。此举意味着参与微软主动保护计划(MAPP)的中国公司,将不再能获取有关新发现漏洞的“概念验证”代码,而是将收到更为通用的漏洞书面描述,并在漏洞修复补丁发布时一并发送。
历史上,中国公司曾因泄露微软漏洞信息而遭受制裁。例如,早在2012年,杭州迪普科技被指控泄露Windows重大漏洞信息,结果被剔除出MAPP。2021年,微软同样怀疑另外两家中国合作伙伴泄露了其Exchange服务器漏洞信息,导致全球范围内的黑客攻击。
微软的这一决定也反映了中共政府对网络安全信息的严格控制。根据美国智库大西洋理事会的报告,自2021年起,中共法律要求安全研究人员在发现漏洞后48小时内向政府报告。因此,微软对中国公司的信息限制被认为是其维护网络安全的合理举措。
此外,微软还确认关闭了在中国设立的“透明中心”,该中心曾允许中共政府审查公司的源代码,以确保没有隐藏的监控后门。发言人指出,自2019年以来,该设施就未再有人访问。
微软最近的披露是在回应彭博社的一项调查,该调查发现与中共间谍活动有关的中国组织与MAPP成员在同一园区内工作。微软在回应中强调,将持续审查MAPP参与者的行为,确保信息不被滥用。