![\"Windows](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/02\/Update.jpg\" "\\"Update\\"")
Da es mit Microsofts Sicherheitsupdates immer wieder gravierende Probleme gibt, hat man ein 'Security Update Validation Program' (SUVP) aufgelegt. Ein paar Informationen und Gedanken dazu. <\/p>\nDa es mit Microsofts Sicherheitsupdates immer wieder gravierende Probleme gibt, hat man ein 'Security Update Validation Program' (SUVP) aufgelegt. Ein paar Informationen und Gedanken dazu. <\/p>\n
<\/p>\n
The Security Update Validation Program (SUVP) is a quality assurance testing program for Microsoft security updates, which are released on the second Tuesday of each month. The SUVP provides early access to Microsoft security updates\u2014up to three weeks in advance of the official release\u2014for the purpose of validation and interoperability testing. The program encompasses any Microsoft products for which we fix a vulnerability (e.g. Windows, Office, Exchange, or SQL Server) and is limited to trusted customers under NDA who have been nominated by a Microsoft representative.<\/p>\n<\/blockquote>\n Das Security Update Validation Program (SUVP) soll also der Qualit\u00e4tssicherung von Microsofts Sicherheitsupdates dienen, die am 2. Dienstag im Monat (Patchday) ausgerollt werden. Teilnehmer am SUVP erhalten bis zu drei Wochen fr\u00fcher Zugriff auf diese Updates. Damit sollen diese die Updates validieren und die Interoperabilit\u00e4t testen k\u00f6nnen. <\/p>\n Das SUVP umfasst jedes Microsoft-Produkt, f\u00fcr welches Microsoft Updates bereitstellt. Allerdings wird das Programm nur f\u00fcr 'trusted customers', die eine Vertraulichkeitsvereinbarung (NDA) unterschreiben, ge\u00f6ffnet. Vorgeschlagen werden die Leute von Microsoft-Repr\u00e4sentanten. <\/p>\n Im Microsoft-Beitrag liest sich das ganz wundervoll, was man mit dem Programm erreichen m\u00f6chten. Der Zweck des SUVP ist die Validierung von Microsoft-Sicherheitsupdates anhand der eigenen Testumgebungen und Infrastrukturen der Teilnehmer am Programm. Das soll den Test mit Branchen-, Dritt- und Inhouse-Anwendungen einschlie\u00dfen. <\/p>\n Probleme, die vor der allgemeinen Ver\u00f6ffentlichung der Sicherheitsupdates gefunden wurden, sollen \u00fcber den SUVP schnell direkt an die (an der Erstellung des Updates beteiligten) Produktteams und Produktmanager oder Ingenieure weitergeleitet werden. Die Hoffnung ist, dass dies eine schnelle Ursachenanalyse (Rapic Root Cause, RCA) und Behebung erm\u00f6glicht. Idealziel: Die erfolgten Korrekturen k\u00f6nnen schnell mit dem Berichtspartner validiert werden. <\/p>\n Um die Vertraulichkeit von privat gemeldeten Schwachstelleninformationen zu sch\u00fctzen, erhalten die SUVP-Teilnehmer keine Schwachstellendetails und d\u00fcrfen die Updates nicht per Reverse Engineering analysiert oder die Wirksamkeit der implementierten Sicherheitsma\u00dfnahmen anderweitig \u00fcberpr\u00fcft werden. Microsoft verspricht: <\/p>\n Der Vorteil der Teilnahme am SUVP-Programm ist die M\u00f6glichkeit, Probleme zu identifizieren, die sich auf Ihr Unternehmen auswirken w\u00fcrden, bevor Microsoft-Sicherheitsaktualisierungen in gro\u00dfem Umfang ver\u00f6ffentlicht werden. Sobald die Probleme identifiziert sind, werden sie schnell erprobt und so weit wie m\u00f6glich behoben. Dies wiederum erm\u00f6glicht es Ihnen, Ihre Windows-Produktionsmaschinen (oder die Ihrer Kunden) jeden Monat sicher und auf dem neuesten Stand zu halten, ohne Bedenken hinsichtlich der Regressionen der Funktionalit\u00e4t zu haben.<\/p>\n<\/blockquote>\n Wer nun ganz hei\u00df auf das SUVP geworden ist, kann sich \u00fcber seinen Microsoft-Repr\u00e4sentanten nominieren lassen. Das Programm verlangt, dass die Teilnehmer einen SUVP-Vertrag unterzeichnen und einen aktiven Azure Active Directory (Azure AD)-Tenant haben, um die Verteilung von Inhalten \u00fcber Microsoft Collaborate zu erm\u00f6glichen. <\/p>\n Als ich die blumigen Worte des Texts gelesen habe, dachte ich: Klingt f\u00fcr mich wie ein Besch\u00e4ftigungsprogramm f\u00fcr gelangweilte Administratoren, die den ganzen Tag nichts zu tun haben. Nur mal so: Wir haben monatliche Preview Rollup Updates, die Microsoft den Leuten bereitstellt. Nach meinen Beobachtungen installieren sich die Leute diese Preview-Updates aber meist nicht (wer spielt schon gerne wissentlich Testkaninchen), weil es einfach zu aufw\u00e4ndig ist. <\/p>\n Und wir haben ein Insider Programm f\u00fcr Windows sowie f\u00fcr Microsoft Office. Aber die dicken B\u00f6cke werden erst nach dem offiziellen Rollout von Updates bekannt \u2013 nachdem viele Nutzer die Updates installiert haben. Wenn also diese Programme \u2013 zumindest in meinen Augen \u2013 nicht greifen und offensichtlich versagen, was soll dann ein SUVP bringen? Bei Woody Leonhard, wo ich auf den Hinweis<\/a> gesto\u00dfen bin, findet sich der Kommentar: <\/p>\n Klingt auf dem Papier wirklich gut. Eigentlich klingt es wie ein altmodisches Beta-Testteam, das aus Corporate Volunteers besteht. Ich sch\u00e4tze, das ist billiger als die Einstellung von Testern. Ich frage mich, wie es in der kalten Wirklichkeit funktionieren wird?<\/p>\n<\/blockquote>\n Susan Bradley schreibt<\/a>, dass dies ein altes Programm sei, welches jetzt ausgeweitet werde. Sie hat diese Ausweitung wohl auch gefordert \u2013 offenbar gibt es wirklich Interesse von Administratoren an so etwas. Im Forum von askwoody habe ich Hinweise gefunden<\/a>, dass das ein uraltes Microsoft-Programm sei, welches jetzt wohl neue IT-Admin-Gruppen ansprechen soll. Im askwoody Forenthread \u00fcberwiegt die Skepsis, ob das was bringt. Wie ist eure Einsch\u00e4tzung dazu? Ist das sinnvoll und habt ihr als Administratoren in Firmen f\u00fcr so etwas Zeit? Oder sind das weitere Beta-Tester, die eh nix finden?<\/p>\n","protected":false},"excerpt":{"rendered":" Da es mit Microsofts Sicherheitsupdates immer wieder gravierende Probleme gibt, hat man ein 'Security Update Validation Program' (SUVP) aufgelegt. Ein paar Informationen und Gedanken dazu.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[185],"tags":[4315],"class_list":["post-210897","post","type-post","status-publish","format-standard","hentry","category-update","tag-update"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210897","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=210897"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/210897\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=210897"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=210897"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=210897"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Microsoft Mitarbeiter Dawn Thomas hat am 22. Oktober 2018 den Beitrag What is the Security Update Validation Program?<\/a> in der Tech-Community mit der neuen Ank\u00fcndigung ver\u00f6ffentlicht. Zitat: <\/p>\n
\n
Das Ziel des SUVP<\/h2>\n
\n
Meine zwei Cents<\/h2>\n<\/p>\n
\n