Корпорация Microsoft изменила правила своей программы вознаграждений за обнаружение уязвимостей. Теперь выплаты будут полагаться за критические проблемы безопасности во всех продуктах и сервисах компании, включая те, для которых ранее такие программы не предусматривались.
О новом подходе сообщил вице-президент Центра реагирования на инциденты безопасности Microsoft. Компания переходит к модели, при которой уязвимости «по умолчанию входят в сферу действия» программы. Это означает, что вознаграждение смогут получить исследователи, выявившие критические проблемы, влияющие на работу онлайн-сервисов Microsoft, независимо от происхождения кода.
В компании уточнили, что речь идет не только о собственных разработках. Выплаты будут производиться и за уязвимости в сторонних приложениях и проектах с открытым исходным кодом, если они оказывают существенное влияние на экосистему Microsoft. Размер вознаграждения будет одинаковым для уязвимостей одного класса и уровня критичности — вне зависимости от того, где именно обнаружена проблема.
Отмечается, что новая модель распространяется и на корпоративную инфраструктуру, домены и сервисы, принадлежащие и управляемые Microsoft. Даже новые продукты и услуги автоматически подпадают под программу вознаграждений, даже если на момент их запуска отдельные правила еще не были утверждены.
В компании признают, что это серьезный отход от прежней практики. Ранее система MSRC была жестко регламентирована: вознаграждения выплачивались только за строго определенные типы уязвимостей и в ограниченном перечне продуктов.
Изменения объясняются ростом рисков в сфере облачных технологий и искусственного интеллекта, а также усложнением общего ландшафта киберугроз. В Microsoft рассчитывают, что новая схема позволит привлечь больше исследователей к поиску наиболее опасных уязвимостей.
Программа вознаграждений Microsoft действует с 2013 года. За это время многие специалисты получили выплаты, однако звучала и критика — в том числе из-за сложной процедуры подачи отчетов и затянутых сроков реакции. По данным компании, только за прошлый год исследователям было выплачено более 17 млн долларов, и расходы по этой статье в дальнейшем планируется увеличить.
Читайте также: Обнародовано предложение обязать власти закупать отечественную электронику
