Microsoft обнови програмата си за възнаграждение при откриване на уязвимости. Сега тя ще плаща на изследователи за уязвимости в всички свои продукти и услуги, независимо дали има установени програми или не.
Новият подход предвижда и възнаграждение за критични уязвимости в приложения на трети страни.
Том Галахър, вицепрезидент на Microsoft Security Response Center (MSRC), обяви нова стратегия за възнаграждения за открития. Тя носи името „по подразбиране влиза в обхвата“. Според новия модел, MSRC ще плаща за критични уязвимости, които могат да застрашат онлайн услугите на Microsoft.
„Независимо дали кодът е собственост на Microsoft, на трета страна или е с отворен код, ние ще реагираме бързо. Целта ни е да насърчим изследванията в области с висок риск, които могат да бъдат атакувани.“
каза Галахър
Той уточни, че плащанията ще бъдат равни за същата категория уязвимости, независимо дали кодът е на трета страна или продукт на Microsoft.
Подходът „по подразбиране влиза в обхвата“ означава, че дори новите продукти и услуги ще бъдат включени в програмите за възнаграждение.
Тази промяна е радикална. В миналото програмата на MSRC имаше строг регламент относно типовете уязвимости и включените продукти.
„Преминаването към този модел цели да укрепи нашата сигурност в динамично променящия се пейзаж на заплахите, особено в облака и изкуствения интелект.“
обясни Галахър
Microsoft стартира програмата за възнаграждение през 2013 година. Тя беше отговор на многобройни молби от изследователи в областта на сигурността. Въпреки успеха на програмата, много изследователи се оплакват от сложността на процеса и бавната реакция на компанията.
През миналата година Microsoft е изплатила над 17 млн. долара на изследователи в рамките на програмата и конкурса Zero Day Quest.