マイクロソフトの脆弱性対応・公表のポリシーがCVD(Coordinated Vulnerability Disclosure)というものになるようです。このあたりは、MSに限らずどこでも何かしらでもめているところではあると思うのでメモ。

脆弱性の情報公開めぐりMSが姿勢を転換――「責任」から「協調」へ - ITmedia エンタープライズ

米Microsoftは7月22日、脆弱性の情報公開の在り方に関する姿勢を転換すると発表した。これまで外部の研究者などに「責任ある公開」（Responsible Disclosure）を求めてきた立場を改め、今後は「Coordinated Vulnerability Disclosure」（CVD＝協調的な脆弱性情報公開）を追求する。
未解決の脆弱性の情報公開をめぐっては、6月にGoogleのセキュリティ研究者がWindowsの脆弱性情報をMicrosoftのパッチ提供前に一般公開して物議を醸した。続いてMicrosoftに反発するグループが情報の全面開示を宣言。そのたびにMicrosoftは、「情報はまずベンダーに非公開で通報すべきだ」とし、「責任ある開示」を主張した。全面開示の必要性を訴える研究者などとの間で論争が続いてきた。

原文は「Announcing Coordinated Vulnerability Disclosure」とか、「Coordinated Vulnerability Disclosure: Bringing Balance to the Force」になるのでしょうか。

具体的な対応のステップは下記の３つになっていて、内容はそれほど目新しくはなさそうです。Step2の内容が強化されたということでよいのかな。

Step 1: Keep it Private, Keep it Safe
Step 2: Hurry Up and Wait
Step 3: Coordinated Public Disclosure