Microsoft расширила программу баг-баунти на все свои сервисы
Компания объявила о масштабных изменениях в своей программе вознаграждений за обнаружение уязвимостей. Microsoft пообещала платить исследователям безопасности за критические баги во всех своих продуктах и сервисах.
О новом подходе рассказал вице-президент Microsoft Security Response Center Том Галлахер, выступая на конференции Black Hat Europe. По его словам, компания переходит к модели «in scope by default», при которой любые сервисы Microsoft изначально считаются подпадающими под программу вознаграждений.
Согласно новой политике, Microsoft будет выплачивать награды за уязвимости с подтвержденным серьезным воздействием на онлайн-сервисы компании, независимо от того, принадлежит ли уязвимый код самой Microsoft, стороннему разработчику или открытому ПО. Размер выплат будет зависеть от класса и критичности уязвимости и не будет отличаться для собственных и сторонних компонентов.
Галлахер подчеркнул, что цель изменений — стимулировать исследования в наиболее рискованных зонах, особенно там, где уязвимости с наибольшей вероятностью могут быть использованы злоумышленниками. Новый принцип также распространяется на новые продукты и сервисы, включая облачные и ИИ-решения, даже если для них на момент запуска не была создана отдельная программа вознаграждений.
Программа вознаграждений Microsoft была запущена в 2013 году после длительного сопротивления внутри компании. В прошлом году Microsoft выплатила исследователям более $17 миллионов в рамках программ баунти и конкурса Zero Day Quest и ожидает дальнейшего роста этих расходов.
Читать на dev.by