Microsoft ще плаща за откриването на критични уязвимости дори в приложения на трети страни
Microsoft преработи програмата си за хонорари за разкриване на уязвимости и ще заплаща на откриватели за разкриване на уязвимости във всички свои артикули и услуги, даже в тези, за които няма открити такива стратегии.
Новият метод планува погашение на заплащане даже за сериозни уязвимости, открити в приложения на трети страни.
Вицепрезидентът на Microsoft Security Response Center (MSRC) Том Галахър заяви за новия метод на компанията към изплащането на хонорари за открити уязвимости, който тя назовава „ по дифолт влиза в обсега “. Съгласно новия модел MSRC ще изплаща хонорари на откриватели, които оповестяват за сериозни уязвимости, които имат осезаемо влияние върху онлайн услугите на Microsoft.
„ Независимо дали кодът е благосъстоятелност на Microsoft, на трета страна или е с отворен код, ние ще създадем всичко належащо, с цел да отстраним казуса. Нашата цел е да насърчим проучванията в областите с най-голям риск, изключително тези, които е най-вероятно да бъдат употребявани от нападателите. “
каза Галахър
Плащанията за еднакъв клас открити уязвимости и тяхната съвестност както в код на трета страна, по този начин и в артикул на Microsoft ще бъдат идентични, сподели той.
Подходът „ по дифолт влиза в обсега “ значи, че даже новите артикули и услуги са обхванати от стратегиите за заплащане за разкриване на уязвимости, в това число тези, за които не е била избрана съответна стратегия сега на стартирането им на пазара.
Този ход съставлява радикална смяна в системата за заплащане за разкриване на уязвимости на MSRC, която в предишното беше строго регламентирана във връзка с това какъв вид накърнимост заслужава заплащане и кои артикули или услуги са включени в програмата за заплащане.
„ Преминаването към този модел има за цел да укрепи нашата сигурност в изискванията на непрекъснато изменящия се пейзаж на заканите, изключително в облака и изкуствения разсъдък. “
обясни Галахър
Microsoft започва програмата си за заплащане за разкриване на уязвимости през 2013 гoдина след дългогодишни молби от страна на откривателите в региона на сигурността. Макар че от този момент мнозина са се възползвали финансово от програмата, има и доста хора, които се оплакват от комплицирания развой на кандидатстване, бавната реакция на компанията и съмнителните изводи от разбора.
През предходната година Microsoft е изплатила над 17 млн. $ на откривателите в границите на програмата за награди за разкриване на уязвимости и състезанието Zero Day Quest.
(function() { const banners = [ // --- БАНЕР 1 (Facebook Messenger) --- `