Microsoft(MSFT) объявила о значительном расширении охвата своей программы по вознаграждению за уязвимости. Теперь все найденные уязвимости в онлайн-сервисах компании автоматически попадают под программу вознаграждения, а проблемы в открытом и стороннем программном обеспечении также будут оцениваться без исключений.
Ключевая особенность этого изменения — введение политики “по умолчанию включено”. Согласно ей, новые онлайн-сервисы Microsoft сразу же становятся объектами программы вознаграждения за уязвимости при их выпуске, а существующие миллионы сервисов могут быть охвачены без дополнительных процедур одобрения. Благодаря тому, что больше не нужно поэлементно настраивать охват продуктов, исследователи безопасности смогут значительно сократить время, затрачиваемое на определение того, какие уязвимости считаются действительными.
Вице-президент по реагированию на угрозы и безопасности(MSRC) Том Галлахер подчеркнул, что это расширение — не просто административное изменение, а структурная реформа. Он отметил: “Теперь все сервисы автоматически включены в охват, что позволяет исследователям сосредоточиться на уязвимостях, которые действительно влияют на клиентов, и быстрее сообщать о них.” Кроме того, Microsoft планирует более активно сотрудничать с исследователями по вопросам устранения или поддержки уязвимостей в стороннем или открытом коде.
Долгое время программа вознаграждения за уязвимости критиковалась за размытые границы охвата или чрезмерные ограничения, что вызывало путаницу среди исследователей и ограничивало активность исследований. В связи с этим директор по продуктам искусственного интеллекта компании Outpost24 Мартин Ятлюс заявил: “Этот шаг охватывает весь спектр уязвимостей в корпоративной среде и является важным прогрессом.” Он приветствовал инициативу и предупредил: “Атакующие не заботятся о происхождении кода. Важно, чтобы уязвимости, будь то в таких фреймворках, как React-to-Shell, или внутри собственных продуктов Microsoft, были устранены — они попытаются их использовать.”
Эксперты предсказывают, что на начальном этапе это может привести к увеличению выплат по вознаграждениям Microsoft. Однако аналитики считают, что по мере повышения общего уровня безопасности, в долгосрочной перспективе это принесет высокую рентабельность. Покрывая все уязвимости, которые напрямую влияют на пользователей и корпоративных клиентов, Microsoft стремится повысить доверие к своей облачной системе безопасности.
Отказ от ответственности: Информация на этой странице может поступать от третьих лиц и не отражает взгляды или мнения Gate. Содержание, представленное на этой странице, предназначено исключительно для справки и не является финансовой, инвестиционной или юридической консультацией. Gate не гарантирует точность или полноту информации и не несет ответственности за любые убытки, возникшие от использования этой информации. Инвестиции в виртуальные активы несут высокие риски и подвержены значительной ценовой волатильности. Вы можете потерять весь инвестированный капитал. Пожалуйста, полностью понимайте соответствующие риски и принимайте разумные решения, исходя из собственного финансового положения и толерантности к риску. Для получения подробностей, пожалуйста, обратитесь к
Отказу от ответственности.
