Перейти к содержанию

Microsoft заплатит за обнаружение критических уязвимостей даже в сторонних приложениях


Рекомендуемые сообщения

Опубликовано

Microsoft пересмотрела свою программу вознаграждения за обнаружение уязвимостей и будет платить исследователям за обнаружение уязвимостей во всех своих продуктах и сервисах, даже в тех, где нет установленных программ вознаграждения. Новый подход «по умолчанию входит в сферу действия» предусматривает выплату вознаграждения даже за критические уязвимости, обнаруженные в сторонних приложениях. Вице-президент центра реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center, MSRC) Том Галлахер (Tom Gallagher) сообщил о новом подходе компании к выплате вознаграждений за обнаруженные уязвимости, который она называет «по умолчанию входит в сферу действия». В рамках новой модели MSRC будет выплачивать вознаграждение исследователям, которые сообщают о критических уязвимостях, оказывающих ощутимое влияние на онлайн-сервисы Microsoft. «Независимо от того, принадлежит ли код Microsoft, третьей стороне или является открытым исходным кодом, мы сделаем все необходимое для устранения проблемы, — сказал Галлахер. — Наша цель — стимулировать исследования в областях с самым высоким риском, особенно в тех, которые наиболее вероятно будут использованы злоумышленниками». По его словам, выплаты за один и тот же класс обнаруженной уязвимости и степень её серьёзности как в коде стороннего разработчика, так и в продукте Microsoft, будут одинаковыми.

 

4bbaef34ecba5b5252e58282d207c526.jpg

 

«Там, где нет программ вознаграждения за обнаружение уязвимостей, мы будем признавать и вознаграждать разнообразные идеи сообщества исследователей безопасности, независимо от того, куда их направляет их опыт. Это включает в себя домены и корпоративную инфраструктуру, принадлежащие Microsoft и управляемые ею», — добавил Галлахер.

Подход «по умолчанию входит в сферу действия» означает, что даже новые продукты и услуги покрываются программами вознаграждения за обнаружение уязвимостей, включая те, для которых на момент запуска не была назначена специальная программа.

Этот шаг представляет собой радикальное изменение в системе вознаграждения за обнаружение уязвимостей MSRC, которая в прошлом была строго регламентирована в отношении того, какой тип уязвимости заслуживает вознаграждения и какие продукты или услуги включены в программу вознаграждения.

 

fwkxrsxojnr7nvxhrwk7bhkvzyy.jpeg

 

«Переход к модели вознаграждения за обнаружение уязвимостей, которая по умолчанию входит в сферу действия программы, направлен на укрепление нашей безопасности в условиях постоянно меняющегося ландшафта угроз, особенно в облачных технологиях и искусственном интеллекте», — пояснил Галлахер.

Microsoft запустила свою программу вознаграждения за обнаружение уязвимостей в 2013 году после многолетних обращений исследователей безопасности. Хотя многие из них с тех пор получили финансовую выгоду от этой программы, нашлось немало тех, кто жалуется на усложнённый процесс подачи заявок, медленную реакцию компании и сомнительные выводы по результатам анализа.

По данным Microsoft, в прошлом году она выплатила исследователям более $17 млн в рамках своей программы вознаграждения за обнаружение уязвимостей и конкурса Zero Day Quest, и ожидает дальнейшего увеличения расходов.

____________________________________________________________
♦♦♦♦♦♦♦♦◄♫►WeissRussland◄♫►♦♦♦♦♦♦◄♠GRODNO♠►♦♦♦♦♦♦♦♦
---------------------------------------------------------------------------------------------------------
♠ 75.0°e ♣ 53.0°e ♦ 36.0°e ♥ 19.2°e ♠ 13.0°e ♥ 4.8°e ♠ 4.0°w ♣ 5.0°w ♦
____________________________________________________________

Для публикации сообщений создайте учётную запись или авторизуйтесь

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйте новый аккаунт в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти
×
×
  • Создать...