Сегодня 03 июля 2026
18+
MWC 2018 2018 Computex IFA 2018
реклама
Новости Software

Microsoft заплатит за обнаружение критических уязвимостей даже в сторонних приложениях

Microsoft пересмотрела свою программу вознаграждения за обнаружение уязвимостей и будет платить исследователям за обнаружение уязвимостей во всех своих продуктах и ​​сервисах, даже в тех, где нет установленных программ вознаграждения. Новый подход «по умолчанию входит в сферу действия» предусматривает выплату вознаграждения даже за критические уязвимости, обнаруженные в сторонних приложениях.

Вице-президент центра реагирования на инциденты безопасности Microsoft (Microsoft Security Response Center, MSRC) Том Галлахер (Tom Gallagher) сообщил о новом подходе компании к выплате вознаграждений за обнаруженные уязвимости, который она называет «по умолчанию входит в сферу действия». В рамках новой модели MSRC будет выплачивать вознаграждение исследователям, которые сообщают о критических уязвимостях, оказывающих ощутимое влияние на онлайн-сервисы Microsoft.

«Независимо от того, принадлежит ли код Microsoft, третьей стороне или является открытым исходным кодом, мы сделаем все необходимое для устранения проблемы, — сказал Галлахер. — Наша цель — стимулировать исследования в областях с самым высоким риском, особенно в тех, которые наиболее вероятно будут использованы злоумышленниками». По его словам, выплаты за один и тот же класс обнаруженной уязвимости и степень её серьёзности как в коде стороннего разработчика, так и в продукте Microsoft, будут одинаковыми.

«Там, где нет программ вознаграждения за обнаружение уязвимостей, мы будем признавать и вознаграждать разнообразные идеи сообщества исследователей безопасности, независимо от того, куда их направляет их опыт. Это включает в себя домены и корпоративную инфраструктуру, принадлежащие Microsoft и управляемые ею», — добавил Галлахер.

Подход «по умолчанию входит в сферу действия» означает, что даже новые продукты и услуги покрываются программами вознаграждения за обнаружение уязвимостей, включая те, для которых на момент запуска не была назначена специальная программа.

Этот шаг представляет собой радикальное изменение в системе вознаграждения за обнаружение уязвимостей MSRC, которая в прошлом была строго регламентирована в отношении того, какой тип уязвимости заслуживает вознаграждения и какие продукты или услуги включены в программу вознаграждения.

«Переход к модели вознаграждения за обнаружение уязвимостей, которая по умолчанию входит в сферу действия программы, направлен на укрепление нашей безопасности в условиях постоянно меняющегося ландшафта угроз, особенно в облачных технологиях и искусственном интеллекте», — пояснил Галлахер.

Microsoft запустила свою программу вознаграждения за обнаружение уязвимостей в 2013 году после многолетних обращений исследователей безопасности. Хотя многие из них с тех пор получили финансовую выгоду от этой программы, нашлось немало тех, кто жалуется на усложнённый процесс подачи заявок, медленную реакцию компании и сомнительные выводы по результатам анализа.

По данным Microsoft, в прошлом году она выплатила исследователям более $17 млн в рамках своей программы вознаграждения за обнаружение уязвимостей и конкурса Zero Day Quest, и ожидает дальнейшего увеличения расходов.

Источник:

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER.
Материалы по теме

window-new
Soft
Hard
Тренды 🔥
Разработчики Ghostrunner с удовольствием бы занялись Ghostrunner 3, но есть нюанс 2 ч.
Anthropic хочет стать фармкомпанией — лекарства будет разрабатывать ИИ 2 ч.
Слухи: амбициозный российский боевик «Война миров: Сибирь» сравнялся по бюджету с Kingdom Come: Deliverance 2 3 ч.
«Чувствовал, будто расхожусь по швам»: ведущие разработчики Suicide Squad: Kill the Justice League едва не ушли из индустрии из-за провала игры 4 ч.
Alibaba запретила сотрудникам пользоваться помощником программиста Claude Code от Anthropic 5 ч.
Продажи Cyberpunk 2077 превысили 40 млн копий за пять с половиной лет после релиза 5 ч.
Epic Games Store выдал планы Square Enix на сюжетные дополнения к Final Fantasy VII Revelation 5 ч.
Зафиксирована первая в истории полностью автономная атака ИИ- вымогателя 6 ч.
Nothing выпустила последнее обновление для Phone (1) и прекратила поддержку 7 ч.
Европа может запретить лутбоксы для несовершеннолетних и ужесточить возрастные рейтинги игр 7 ч.