A Microsoft(MSFT) anunciou uma expansão significativa do âmbito do seu programa de recompensas por vulnerabilidades. A partir de agora, todas as vulnerabilidades de segurança nos seus serviços online serão automaticamente incluídas na recompensa, e problemas em software de código aberto e de terceiros também serão avaliados sem exceções.
O núcleo desta mudança reside na introdução da política de “inclusão padrão”. Assim, os novos serviços online da Microsoft passam a ser objetos de recompensas por vulnerabilidades desde o momento do lançamento, e os milhões de serviços existentes podem ser considerados sem necessidade de processos adicionais de aprovação. Como não é mais necessário definir manualmente o escopo de produtos, os investigadores de segurança podem reduzir significativamente o tempo gasto na avaliação de quais vulnerabilidades são válidas.
O vice-presidente de Engenharia do Centro de Resposta de Segurança da Microsoft(MSRC) Tom Gallager enfatizou que esta expansão não é uma simples alteração administrativa, mas uma reforma estrutural. Ele afirmou: “Agora, todos os serviços estão automaticamente incluídos, permitindo que os investigadores se concentrem naquelas vulnerabilidades que realmente impactam os clientes e reportem de forma mais rápida.” Além disso, a Microsoft também planeja colaborar de forma mais proativa com investigadores para resolver ou oferecer suporte de manutenção a problemas encontrados em código de terceiros ou de código aberto.
Há muito tempo, o programa de recompensas por vulnerabilidades tem sido criticado por sua delimitação ambígua ou restrições excessivas, sendo considerado uma fonte de confusão para os investigadores e um limitador das atividades de pesquisa. A esse respeito, Martin Jatlius, diretor de produtos de inteligência artificial da empresa de segurança Outpost24, afirmou: “Esta iniciativa cobre toda a exposição de vulnerabilidades da empresa, representando um avanço importante.” Ele acolheu a medida e alertou: “Os atacantes não se preocupam com a origem do código. Seja um framework como React-to-Shell ou produtos próprios da Microsoft, se puderem ser vulneráveis, eles irão tentar.”
Especialistas do setor preveem que, inicialmente, essa medida pode aumentar o valor total pago pela Microsoft em recompensas. No entanto, análises indicam que, com a elevação do nível geral de segurança, a longo prazo, essa estratégia terá um alto custo-benefício. Ao cobrir de forma abrangente vulnerabilidades que impactam diretamente usuários e clientes corporativos, a Microsoft busca elevar a credibilidade de seu ecossistema de segurança baseado em nuvem.
Isenção de responsabilidade: As informações contidas nesta página podem ser provenientes de terceiros e não representam os pontos de vista ou opiniões da Gate. O conteúdo apresentado nesta página é apenas para referência e não constitui qualquer aconselhamento financeiro, de investimento ou jurídico. A Gate não garante a exatidão ou o carácter exaustivo das informações e não poderá ser responsabilizada por quaisquer perdas resultantes da utilização destas informações. Os investimentos em ativos virtuais implicam riscos elevados e estão sujeitos a uma volatilidade de preços significativa. Pode perder todo o seu capital investido. Compreenda plenamente os riscos relevantes e tome decisões prudentes com base na sua própria situação financeira e tolerância ao risco. Para mais informações, consulte a
Isenção de responsabilidade.
