在多年的安全问题和美国网络安全审查委员会（US Cyber Safety Review Board）的严厉报告之后，微软在今年早些时候将安全问题列为每位员工的头等大事。在微软首席执行官萨蒂亚-纳德拉（Satya Nadella）告诉全公司安全应优先于一切的近半年后，这家软件巨头提交了一份进展报告。

　　微软于 2023 年 11 月首次启动了安全未来计划（Secure Future Initiative，SFI），就在几个月前，美国网络安全审查委员会得出结论：微软的安全文化不足，需要彻底改革。这次严厉的审查真正促使微软开始行动，该公司今天透露，它现在有相当于 34000 名全职工程师为 SFI 工作，这使其成为微软内部有史以来最大的网络安全工程努力。

　　上个月，微软公司将其安全工作与员工绩效考核挂钩，现在每名微软员工都要根据他们的安全工作接受评判。最近几个月，微软还根据 SFI 的要求对其安全流程进行了一系列改进。

　　微软更新了 Entra ID 和 Microsoft 帐户 (MSA) 系统，使用 Azure 管理的硬件安全模块生成、存储和自动轮换访问令牌签名密钥。此外，还删除了 575 万个不活跃租户，以减少攻击面。微软现在还使用具有安全默认值的新系统进行测试，以避免遗留系统在未来造成安全问题。

　　现在，微软在一个中央库存系统中跟踪其 99% 以上的物理网络，该系统有助于固件合规性和日志记录。微软还改进了审计日志，将日志至少保留两年。

　　现在，微软内部工程团队的个人访问令牌已被削减至七天，所有内部工程软件仓库的 SSH 访问都被禁用，能够访问关键工程系统的人员数量也已减少。

　　微软过去曾因应对安全问题所需的时间过长而受到批评，该公司现在开始公布 CVE，即使不需要客户采取行动，也要提高透明度。

　　改造微软的工程流程和安全文化并非易事，尤其是当公司拥有 10 万名工程师、设计师和项目经理，每天处理 50 多万个工作项目，每月进行 500 万次构建时。

　　微软正在通过正确开始、正确坚持、正确完成的方法实施新标准。正确起步确保项目使用模板、策略和自助工具遵守安全标准。然后，保持正确确保对项目和相关政策执行进行监控。最后一部分是Get Right，旨在让微软监控其合规状态。

　　这家软件巨头还成立了一个新的网络安全治理委员会，并任命了 13 位副首席信息安全官，其中四位是微软新聘人员：

　　Shawn Bowen，游戏部门副总裁兼首席信息安全官（CISO）：Bowen 在工程和安全岗位上工作了 27 年，包括在 World Kinect 和美国海军陆战队情报部担任 CISO。

　　蒂莫西-兰根（Timothy Langan）华为系统手机如何下载whatsapp，公司副总裁兼政府部门首席信息安全官（CISO）：在今年 7 月加入微软之前，Langan 在联邦调查局工作了 26 年，负责美国联邦调查局的网络、犯罪调查和其他业务。

　　其他九位副首席信息安全官都是在微软工作了几十年的资深高管，其中包括技术研究员马克-鲁西诺维奇（Mark Russinovich），他被任命为Azure的副首席信息安全官，同时兼任Azure首席技术官。微软的高级领导团队现在每周都会审查 SFI 的进展情况，并每季度向微软董事会提供最新进展情况。

　　最后，微软在 7 月份推出了安全技能学院，其中包括对所有员工进行培训，以强化安全在日常运营中的重要性。这种持续的培训、绩效考核以及微软高层领导团队的监督，无疑给员工带来了压力，要求他们比以往任何时候都更加关注安全问题，但微软要重新赢得信任，并将有关其安全记录的头条新闻放在后视镜中，仍然任重而道远。

　　微软安全主管查理-贝尔（Charlie Bell）表示：我们对透明度和行业合作的承诺始终坚定不移。通过培养这种不断学习和改进的文化，我们正在打造一个安全不仅是功能，而且是基础的未来。