微软是否应该改变安全补丁的周期？

沟通已经得到了改善

　　在说到微软可能更快地修复零日安全漏洞并且在安全公告中提供了更详细的信息的同时，安全专业人员承认，微软已经明显地改善了它的沟通方式。这种沟通方式在最近的零日威胁事件中被证明是有帮助的。

　　美国蒙大拿州的独立安全研究人员Matthew Murphy说，我确实喜欢微软处理WMF威胁的方式。微软注意到了可以利用的安全漏洞，然后很快采取了行动。微软很快就开发和测试了补丁，并且很快发布了这个补丁。

　　微软表示，补丁在测试完成之后立即发出。Murphy说，微软一直保持对这个漏洞的消息沟通。因此，当微软提前5天发布这个补丁的时候，并没有产生破环性影响。把这种雄心勃勃的计划与透明度结合起来是一个很好的发展。人们低估了沟通能够在多大程度上缓解这种形势。

　　微软还提供了广泛的沟通方式，包括在其TechNet网站上发表安全公告和微软安全反应中心发表网络博客。

　　Murphy说，博客一直是网络社区非常受欢迎的地方。我们能从那里得到更快和更新的信息。这表明，微软知道它需要更有效地和更快地提供信息。

　　预计没有大变化

　　微软安全技术部门通信经理Debby Fry Wilson说，虽然零日补丁也许不会像某些人希望的那样快地发布，但是，微软当前采取的方法是大多数用户反馈意见的结果。因此，人们可以预料，补丁周期在可以预见的未来不会发生变化。然而，她补充说，微软的目标总是要尽可能快地发布零日补丁，尽管这意味着偏离了标准的发布周期。

　　Fry Wilson说，如果我们有达到质量标准的补丁并且用户正在面临严重的危险，微软总是要考虑在周期之外发布补丁的，就像我们以前曾经做过的那样，如解决WMF攻击的问题。

　　她还许诺说，没有经过适当的测试，微软是不会发布补丁的，无论零日攻击有多么严重。Fry Wilson说，在攻击中比没有最新的补丁还要糟糕的是有一个破补丁。

　　微软的用户过去曾遭受过破补丁之苦。就在上个月，微软被迫重新发布了在4月11日第一次发布的IE补丁。Fry Wilson说，微软要把这种问题减少到最低限度。

　　Fry Wilson说，我们必须要保证每一个安全补丁都是能够修复潜在的安全漏洞的高质量的补丁，同时，我们还要有效地使用这些补丁。
(e129)