微软披露“安全未来计划”最新进展，正迈向以安全为基石的未来

近日，微软公布其在安全领域的最新进展报告。

今年11月，微软正式启动了“安全未来计划”（Secure Future Initiative, SFI），旨在重塑其安全生态。

此前数月，美国网络安全审查委员会直指微软安全文化薄弱，亟需根本性变革。这一严峻评价成为微软行动的催化剂，公司透露，目前已有相当于34,000名全职工程师全力投入SFI，标志着微软历史上最大规模的网络安全工程努力正式启动。

为强化安全意识，微软上月将安全工作与员工绩效评估紧密相连，每位员工的表现都将依据其安全贡献来评判。

同时，微软根据SFI要求，对安全流程进行了多项关键改进。包括升级Entra ID和Microsoft账户（MSA）系统，利用Azure管理的硬件安全模块来生成、存储及自动轮换访问令牌签名密钥；清理了575万个不活跃租户，以缩小潜在攻击面；并引入具备安全默认设置的新系统，预防遗留系统带来的安全隐患。

此外，微软还优化中央库存系统，以监控99%以上的物理网络，确保固件合规性和日志记录的准确性。审计日志的保留期限也被延长至至少两年。

内部工程团队的个人访问令牌有效期缩短至七天，SSH访问内部工程软件仓库被全面禁用，且能访问关键工程系统的人员数量大幅减少。

如今，微软开始主动公开CVE信息，即便无需客户采取行动，也力求提升透明度。

面对拥有10万名工程师、设计师及项目经理，每日处理数十万工作项目、每月进行数百万次构建的庞大体系，微软通过“正确启动、持续监控、确保合规”的三步走策略实施新标准，确保每个项目从始至终都遵循安全规范。

为加强领导力量，微软成立了网络安全治理委员会，并任命了13位副首席信息安全官（CISO），其中四位为新晋加入的高管，他们各自拥有丰富的行业经验。同时，微软还设立了安全技能学院，为全体员工提供持续培训，强化“安全即日常”的理念。

这一系列举措虽给员工带来了前所未有的安全压力，但微软安全主管查理·贝尔（Charlie Bell）强调：“我们对透明度和行业合作的承诺坚定不移。通过构建这种持续学习与改进的文化，我们正迈向一个安全成为基石的未来。”

然而，微软要彻底重塑其安全形象，赢得公众信任，仍需付出长期而艰巨的努力。