该公司实施了新的“正确开始、正确坚持、正确结果”方法,确保将安全性融入到项目的每个阶段。
在收到美国网络安全审查委员会的批评性反馈后,微软在加强安全文化方面取得了重大进展。该公司于 2023 年底启动了安全未来计划 (SFI),吸引了 34,000 名致力于网络安全工作的工程师参与其中。首席执行官萨蒂亚·纳德拉 (Satya Nadella) 将整个组织的安全放在首位,甚至在最近几个月将员工绩效评估与安全目标挂钩。
微软对其安全流程实施了多项变革,包括改进其 Entra ID 和 Microsoft Account 系统、减少不活跃租户以及增强网络跟踪以提高合规性。该公司还引入了更严格的控制措施,例如限制个人访问令牌和取消内部工程存储库的 SSH 访问。
为了提高透明度,微软现在甚至在不需要客户采取行动的情况下也会发布 CVE。它还引入了新标准,采用“正确开始、正确坚持、正确结果”的方法,以确保安全协议贯穿其整个项目。
为了监督其网络安全工作,微软成立了网络安全治理委员会,并任命了几位新的副首席信息安全官。该公司还成立了一所安全技能学院,为员工提供培训,以加强其对建立强大安全文化的长期承诺。
评论