微软(MSFT)宣布大幅扩展其漏洞悬赏计划的适用范围。从现在起,针对其所有在线服务的安全漏洞都将自动纳入奖励范围,开源及第三方软件中出现的问题也将无一例外地接受评估。
此次变革的核心在于引入了"默认包含"政策。据此,微软新的在线服务在发布的同时即成为漏洞悬赏奖励对象,现有的数百万项服务也无需额外审批程序即可适用。由于不再需要逐项设定产品范围,安全研究人员可以大幅减少在判断哪些漏洞有效上所耗费的时间。
微软安全响应中心(MSRC)工程副总裁汤姆·加拉格尔强调,此次扩展并非简单的行政程序变更,而是一次结构性改革。他表示:"现在所有服务都自动包含在范围内,使得研究人员能够专注于那些对客户产生实际影响的漏洞,并更快地进行报告。"此外,微软还计划就第三方或开源代码中出现的问题,更积极地与研究人员合作进行修复或提供维护支持。
长期以来,漏洞悬赏计划因范围界定模糊或限制过多而备受诟病,被认为引发了研究人员的困惑并制约了研究活动。对此,安全公司Outpost24的人工智能产品总监马丁·雅特柳斯表示:"这一举措涵盖了企业整个漏洞暴露面,是一项重要的进步。"他对此表示欢迎,并警告称:"攻击者并不在意代码的来源。无论是像React-to-Shell这样的框架还是微软自身的产品,只要能攻破,他们就会尝试。"
业界预测,此举初期可能导致微软的奖励支付规模增加。但分析认为,随着整体安全水平提升,长期来看将具有很高的成本效益。通过全面覆盖对用户和企业客户产生直接影响的漏洞,微软旨在提升其基于云的安全生态系统的整体可信度。
