Microsoft ha introducido un cambio importante en su estrategia de seguridad llamado nuevo modelo de recompensa por errores En el alcance de forma predeterminada. El cambio indica un fuerte compromiso para proteger a los usuarios, aumentar la transparencia para los investigadores y cerrar brechas de larga data en la calificación de vulnerabilidades.
El modelo Scope by Default ha sido anunciado como un plan para abordar las vulnerabilidades de seguridad.
Anunciado por Tom Gallagher Desde el Centro de respuesta de seguridad de Microsoft durante Black Hat Europe, espacios de políticas Todos los servicios en línea de Microsoft automáticamente bajo elegibilidad de recompensa. Esto incluye errores encontrados. Componentes de terceros y código fuente abierto Corriendo entre estos servicios.
Gallagher destacó la nueva posición de Microsoft con un mensaje claro:
“A partir de hoy, si una vulnerabilidad crítica tiene un impacto directo y demostrable en nuestros servicios en línea, es elegible para recibir una recompensa. Ya sea que el código sea propiedad y esté operado por Microsoft, un tercero o de código abierto, haremos todo lo que sea necesario para remediar el problema”.
La actualización corrige una limitación importante de los programas anteriores, donde ahora solo los productos seleccionados eran elegibles para recompensas. Cada servicio recién lanzado entra inmediatamente en la oportunidad de recompensaFomentar la rápida participación de la comunidad y el descubrimiento temprano de vulnerabilidades.
Conclusiones clave de la nueva política:
- Las vulnerabilidades críticas que afectan los servicios en línea califican para pagos de recompensas
- Microsoft ofrecerá recompensas incluso si ningún programa de recompensas específico cubría previamente el producto.
- La iniciativa fomenta la investigación en áreas de alto riesgo y facilita las reglas de elegibilidad para los investigadores de seguridad.
- Todos los participantes deben seguir las Pautas de divulgación responsable de Microsoft.
Con este cambio, Microsoft apunta a fortalecer la seguridad en todo su ecosistema de nube y brindar a los investigadores un incentivo claro para revelar errores peligrosos antes que los atacantes.
En otras noticias de seguridad, con la última actualización, Windows ahora le advierte sobre scripts de PowerShell vulnerables.
Milán Stanojevich
Milan ha sido un apasionado de la tecnología desde su infancia y esto hizo que se interesara por todas las tecnologías relacionadas con la PC. Es un entusiasta de las PC y pasa la mayor parte de su tiempo aprendiendo sobre computadoras y tecnología. Antes de unirse a WindowsReport, trabajó como desarrollador web front-end. Ahora es un experto en resolución de problemas en nuestro equipo global, especializado en errores de Windows y problemas de software.
Los lectores ayudan a respaldar los informes de Windows. Es posible que recibamos una comisión si compra a través de nuestros enlaces.
Lea nuestra página de publicaciones para saber cómo puede ayudar a mantener el equipo editorial de Windows Report. Leer más
