Компания Microsoft объявила о значительном расширении своей программы поощрения исследователей в области информационной безопасности. Отныне корпорация будет выплачивать денежные вознаграждения за обнаружение критических уязвимостей во всех своих онлайн-сервисах. Ключевое изменение заключается в том, что программа охватывает не только код, разработанный самой Microsoft, но и компоненты, созданные сторонними разработчиками.

Обновленная политика была представлена на конференции Black Hat Europe вице-президентом по разработке в Центре реагирования на угрозы безопасности Microsoft Томом Галлахером. Он объяснил, что такое решение было принято из-за того, что злоумышленники не разделяют уязвимости на внутренние и внешние. Для них важен сам факт наличия бреши в системе, независимо от ее происхождения. Поэтому компания решила устранить это различие и в своей программе вознаграждений.

Теперь исследователи смогут получать выплаты за критические уязвимости, которые оказывают прямое и подтвержденное воздействие на работу онлайн-сервисов Microsoft. Программа распространяется на все действующие сервисы, а также на новые продукты сразу после их официального выпуска. Особое внимание уделяется ошибкам в сторонних зависимостях, будь то коммерческие программные продукты или решения с открытым исходным кодом, интегрированные в экосистему Microsoft.

За последний год корпорация уже выплатила специалистам по безопасности более семнадцати миллионов долларов в виде вознаграждений. Годом ранее эта сумма составила шестнадцать миллионов шестьсот тысяч долларов. Ранее в рамках одного обновления безопасности Microsoft смогла устранить сразу пятьдесят семь различных уязвимостей в своих продуктах, что демонстрирует масштаб и важность подобных программ для поддержания защищенности цифровых сервисов.