Корпорация Microsoft сообщила о запуске программы финансового вознаграждения за информацию об уязвимостях в ее программном обеспечении. Программа работает как в отношении новых, так и старых программных решений. Напомним, что ранее софтверный гигант предлагал денежные вознаграждения только в рамках специальных конференций и хакерских марафонов. Так, во время последней конференции BlueHat компания предложила призовой фонд в 250 000 долларов. Однако постоянной BugBounty-программы у нее до сих пор не было.
"Это самая правильная и умная вещь, которую мы можем сделать", - говорит Кэти Муссурис, старший специалист по безопасности в Microsoft Security Response Center. "Мы оценили, что именно делали специалисты и заметили, что тренды информирования о проблемах изменились. Еще несколько лет назад о многих багах в Microsoft сообщали напрямую, потому этот тренд себя исчерпал. Мы хотим его возродить".
В компании говорят, что программа вознаграждения работает в том числе и в отношении предрелизных продуктов, таких как Internet Explorer 11 или Windows 8.1, бета-версии которых появятся 26 июня. В корпорации говорят, что данные шаги должны позволить им выпускать более стабильные решения.
Согласно списку, опубликованному корпорацией, в зависимости от степени опасности проблемы варьируется и размер вознаграждения. В то случае, если разработчик обнаружит баг, который позволяет сделать рабочий эксплоит и обойти систему безопаности на уровне платформы, то он получит до 100 000 долларов. Так называемые "дыры в броне" - это самый опасный для компании вариант бага и за него полагается самое высокое вознаграждение. Фактически, данное вознаграждение даже превышает 50 000 долларов, которые компания выплачивала на BlueHat.
В компании говорят, что для разных продуктов сетка вознаграждений различна. К примеру, для Internet Explorer 11 она выглядит так:
Также есть свои сетки BugBounty и для Azure, Windows, Office 365, Xbox Live и других.
Источник: CyberSecurity
|
