Microsoft je u četvrtak najavio veliko proširenje svog bug bounty programa, koji sada obuhvata i kod trećih strana, kao i open source projekte.
Ukoliko kritična ranjivost ima uticaj na Microsoftove online servise, istraživač koji je otkrije i prijavi ispunjava uslove za dobijanje novčane nagrade.
„Ako kritična ranjivost ima direktan i dokaziv uticaj na naše online servise, ona ispunjava uslove za bug bounty nagradu. Bez obzira na to da li je kod u vlasništvu i pod upravljanjem Microsofta, treće strane ili je open source, uradićemo sve što je potrebno da se problem otkloni“, kazao je potpredsjednik Microsofta Tom Gallagher.
Microsoft objašnjava da se ovaj pristup „In Scope by Default“ poklapa sa načinom na koji hakeri gledaju na površinu napada, jer su im sve bezbjednosne greške podjednako važne.
„U svijetu u kojem dominiraju vještačka inteligencija i cloud, hakeri se ne ograničavaju na konkretne proizvode ili servise. Njima nije bitno ko je vlasnik koda koji pokušavaju da iskoriste“, navodi Gallagher.
Ukratko, bezbjednosni istraživači koji traže slabosti u oblastima koje su od velikog interesa za hakere sada su dobrodošli da prijavljuju ranjivosti kroz Microsoftov bug bounty program.
„Ako su Microsoftovi online servisi pogođeni ranjivostima u kodu trećih strana, uključujući open source, želimo da znamo za to. Ako ranije nije postojala nagrada za ovako važan rad, sada ćemo je ponuditi. Time se zatvara praznina u bezbjednosnim istraživanjima i podiže nivo zaštite za sve koji se oslanjaju na ovaj kod“, rekao je Gallagher.
Ova izmjena je stupila na snagu odmah, a Microsoftov bug bounty program sada po difoltu obuhvata sve online servise. Novi servisi se smatraju obuhvaćenim programom čim budu lansirani.
Proširenje bug bounty programa predstavlja najnoviju promjenu koju je Microsoft uveo u okviru inicijative Secure Future Initiative, najavljene 2023. godine, i dolazi nakon imenovanja dva nova operativna CISO-a ove sedmice.
Izvor: SecurityWeek
