MWC 2018
2018
Computex
IFA 2018
Microsoft пересмотрела свою программу вознаграждения за обнаружение уязвимостей и будет платить исследователям за обнаружение уязвимостей во всех своих продуктах и сервисах, даже в тех, где нет установленных программ вознаграждения. Новый подход «по умолчанию входит в сферу действия» предусматривает выплату вознаграждения даже за критические уязвимости, обнаруженные в сторонних приложениях.
Вице-президент центра реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center, MSRC) Том Галлахер (Tom Gallagher) сообщил о новом подходе компании к выплате вознаграждений за обнаруженные уязвимости, который она называет «по умолчанию входит в сферу действия». В рамках новой модели MSRC будет выплачивать вознаграждение исследователям, которые сообщают о критических уязвимостях, оказывающих ощутимое влияние на онлайн-сервисы Microsoft.
«Независимо от того, принадлежит ли код Microsoft, третьей стороне или является открытым исходным кодом, мы сделаем все необходимое для устранения проблемы, — сказал Галлахер. — Наша цель — стимулировать исследования в областях с самым высоким риском, особенно в тех, которые наиболее вероятно будут использованы злоумышленниками». По его словам, выплаты за один и тот же класс обнаруженной уязвимости и степень её серьёзности как в коде стороннего разработчика, так и в продукте Microsoft, будут одинаковыми.
«Там, где нет программ вознаграждения за обнаружение уязвимостей, мы будем признавать и вознаграждать разнообразные идеи сообщества исследователей безопасности, независимо от того, куда их направляет их опыт. Это включает в себя домены и корпоративную инфраструктуру, принадлежащие Microsoft и управляемые ею», — добавил Галлахер.
Подход «по умолчанию входит в сферу действия» означает, что даже новые продукты и услуги покрываются программами вознаграждения за обнаружение уязвимостей, включая те, для которых на момент запуска не была назначена специальная программа.
Этот шаг представляет собой радикальное изменение в системе вознаграждения за обнаружение уязвимостей MSRC, которая в прошлом была строго регламентирована в отношении того, какой тип уязвимости заслуживает вознаграждения и какие продукты или услуги включены в программу вознаграждения.
«Переход к модели вознаграждения за обнаружение уязвимостей, которая по умолчанию входит в сферу действия программы, направлен на укрепление нашей безопасности в условиях постоянно меняющегося ландшафта угроз, особенно в облачных технологиях и искусственном интеллекте», — пояснил Галлахер.
Microsoft запустила свою программу вознаграждения за обнаружение уязвимостей в 2013 году после многолетних обращений исследователей безопасности. Хотя многие из них с тех пор получили финансовую выгоду от этой программы, нашлось немало тех, кто жалуется на усложнённый процесс подачи заявок, медленную реакцию компании и сомнительные выводы по результатам анализа.
По данным Microsoft, в прошлом году она выплатила исследователям более $17 млн в рамках своей программы вознаграждения за обнаружение уязвимостей и конкурса Zero Day Quest, и ожидает дальнейшего увеличения расходов.
Источник:
