Di konferensi Black Hat USA 2008, Microsoft mengumumkan tiga inisiatif baru untuk membantu perusahaan mengkomunikasikan informasi keamanan kepada mitra dan pelanggannya. Tiga inisiatif baru ini dinamakan Microsoft Active Protections Program (MAPP), Exploitability Index dan Microsoft Vulnerability Research (MSVR).

Microsoft Active Protections Program

MAPP adalah program untuk mengkomunikasikan informasi detil tentang celah keamanan Windows kepada para penyedia perangkat lunak dan layanan keamanan. Microsoft menciptakan MAPP karena jeda waktu antara ditemukannya sebuah celah keamanan dengan aktivitas eksploitasi oleh hacker semakin mengecil.

Microsoft berharap MAPP akan membantu penyedia aplikasi sekuriti dalam memprioritaskan update platform Microsoft. Sebagai contoh, melalui program MAPP ini, para vendor firewall, intrusion detection system (IDS) akan mendapatkan informasi terbaru tentang celah keamanan di Windows dan dapat melindungi kliennya dengan lebih baik.

Exploitability Index

Menanggapi masukan pelanggan yang meminta bantuan dalam menganalisa risiko sekuriti, Microsoft juga mengumumkan Exploitability Index yang akan diikutkan sebagai bagian dari bulletin keamanan bulanan Microsoft mulai Oktober 2008.

Exploitability Index menilai besarnya kemungkinan eksploitasi untuk setiap celah keamanan yang diperbaiki. Setiap perbaikan akan memiliki salah satu dari tiga tingkatan Exploitability Index:

• Consistent Exploit Code Likely (paling berbahaya)
• Inconsistent Exploit Code Likely
• Functioning Exploit Code Unlikely (tidak berbahaya)

Microsoft Vulnerability Research

MVR difokuskan untuk mencari celah keamanan di aplikasi pihak ketiga yang dioperasikan di platform Windows. Dengan kata lain, Microsoft akan membantu penyedia aplikasi pihak ketiga dengan melaporkan celah keamanan yang ditemukan kepada vendor dan membantu mereka memperbaiknya. Microsoft sebelumnya pernah bekerja sama dengan saingan seperti Apple dan Yahoo untuk memperbaiki masalah sekuriti, akan tetapi inisiatif ini adalah keputusan resmi untuk membantu pengembang pihak ketiga.

Microsoft akan menggunakan sumber daya internal maupun eksternal (ahli sekuriti yang tidak bekerja untuk Microsoft) untuk menemukan celah keamanan dan berjanji untuk mengkomunikasikan hasilnya hanya kepada vendor yang bersangkutan. (via ArsTechnica)