IT之家 5 月 3 日消息，在经历了多年的安全问题和越来越多的批评之后，微软将安全作为每位员工的首要任务。

美国网络安全审查委员会最近发布了一份措辞严厉的报告，得出“微软的安全文化不足，需要彻底改革”的结论，为此，它概述了一套与微软高级领导团队薪酬方案相关的安全原则和目标。

去年 11 月，微软宣布了一项安全未来计划（SFI），以应对该公司面临越来越大的压力。微软安全执行副总裁 Charlie Bell 在今天的博客文章中解释道：“我们将安全性作为微软的首要任务，高于其他所有功能。我们将根据在实现安全计划和里程碑方面的进展情况，来确定公司高级领导团队的部分薪酬，从而灌输问责制。”

微软现在制定了三项安全原则，构成了这些目标的重要组成部分：设计安全；默认情况下安全；安全运营。这些原则旨在在产品和服务的设计阶段将安全性放在首位，更加注重默认启用的保护，并改进对当前和未来威胁的控制和监控。

IT之家从公告中注意到，微软还提出了六项承诺：

• 保护身份和秘密。微软承诺在其身份和机密基础设施中实施“一流标准”，以便 100% 的用户帐户受到多因素身份验证的保护，100% 的应用程序受到证书等托管凭据的保护。

• 保护租户并隔离生产系统。微软正在采取一种方法来确保只有健康、受管理且安全的设备才能访问公司的一组服务，同时为 100% 的应用程序提供最低特权访问模型（最低级别的访问或权限）。

• 保护网络。微软承诺通过对所有生产环境应用隔离和微分段，确保 100% 的生产网络和连接到网络的系统的安全，从而帮助针对攻击者建立额外的防御。

• 保护工程系统。微软表示，它将通过零信任和最低权限访问策略 100% 保证对其源代码的访问。部署到生产环境的任何源代码也将受到安全最佳实践的保护，测试环境也将具有标准化的安全性和基础设施隔离。

• 监视和检测威胁。微软承诺将所有安全日志保留两年，并向客户提供六个月的“适当日志”。它还将自动检测并“快速”响应 100% 的微软生产基础设施和服务中的可疑访问或配置更改。

• 加快响应和修复。目标通过更多的“及时修复”来防止未修补的漏洞被利用。微软承诺通过采用通用弱点枚举（CWE）和通用平台枚举（CPE）行业标准，减少修复“高严重性”云安全漏洞所需的时间，并提高这些问题的透明度。

此外，微软的工程主管现在每周和每月举行运营会议，其中包括各种管理人员和高级人员，目的是提高微软在整个公司的安全思维。微软还在每个产品团队中增加了副首席信息安全官（CISO）职位，并将其威胁情报团队直接向 CISO 报告。