Анонсировано, что Microsoft расширила выплаты за найденные уязвимости
Корпорация Microsoft изменила правила своей программы вознаграждений за обнаружение уязвимостей.
Корпорация Microsoft изменила правила своей программы вознаграждений за обнаружение уязвимостей. Теперь выплаты будут полагаться за критические проблемы безопасности во всех продуктах и сервисах компании, включая те, для которых ранее такие программы не предусматривались.
О новом подходе сообщил вице-президент Центра реагирования на инциденты безопасности Microsoft. Компания переходит к модели, при которой уязвимости «по умолчанию входят в сферу действия» программы. Это означает, что вознаграждение смогут получить исследователи, выявившие критические проблемы, влияющие на работу онлайн-сервисов Microsoft, независимо от происхождения кода.
В компании уточнили, что речь идет не только о собственных разработках. Выплаты будут производиться и за уязвимости в сторонних приложениях и проектах с открытым исходным кодом, если они оказывают существенное влияние на экосистему Microsoft. Размер вознаграждения будет одинаковым для уязвимостей одного класса и уровня критичности — вне зависимости от того, где именно обнаружена проблема.
Отмечается, что новая модель распространяется и на корпоративную инфраструктуру, домены и сервисы, принадлежащие и управляемые Microsoft. Даже новые продукты и услуги автоматически подпадают под программу вознаграждений, даже если на момент их запуска отдельные правила еще не были утверждены.
В компании признают, что это серьезный отход от прежней практики. Ранее система MSRC была жестко регламентирована: вознаграждения выплачивались только за строго определенные типы уязвимостей и в ограниченном перечне продуктов.
Изменения объясняются ростом рисков в сфере облачных технологий и искусственного интеллекта, а также усложнением общего ландшафта киберугроз. В Microsoft рассчитывают, что новая схема позволит привлечь больше исследователей к поиску наиболее опасных уязвимостей.
Программа вознаграждений Microsoft действует с 2013 года. За это время многие специалисты получили выплаты, однако звучала и критика — в том числе из-за сложной процедуры подачи отчетов и затянутых сроков реакции. По данным компании, только за прошлый год исследователям было выплачено более 17 млн долларов, и расходы по этой статье в дальнейшем планируется увеличить.
Читайте также: Обнародовано предложение обязать власти закупать отечественную электронику