Microsoft будет покупать информацию об уязвимостях

21/06/2013 10:18

Корпорация Microsoft сообщила о запуске программы финансового вознаграждения за информацию об уязвимостях в ее программном обеспечении. Программа работает как в отношении новых, так и старых программных решений. Напомним, что ранее софтверный гигант предлагал денежные вознаграждения только в рамках специальных конференций и хакерских марафонов. Так, во время последней конференции BlueHat компания предложила призовой фонд в 250 000 долларов. Однако постоянной BugBounty-программы у нее до сих пор не было. "Это самая правильная и умная вещь, которую мы можем сделать", - говорит Кэти Муссурис, старший специалист по безопасности в Microsoft Security Response Center. "Мы оценили, что именно делали специалисты и заметили, что тренды информирования о проблемах изменились. Еще несколько лет назад о многих уязвимостях в Microsoft сообщали напрямую, потому этот способ себя исчерпал. Мы хотим его возродить". В компании говорят, что программа вознаграждения работает в том числе и в отношении предрелизных продуктов, таких как Internet Explorer 11 или Windows 8.1, бета-версии которых появятся 26 июня. В корпорации говорят, что данные шаги должны позволить им выпускать более стабильные решения. Согласно списку, опубликованному корпорацией, в зависимости от степени опасности проблемы варьируется и размер вознаграждения. В то случае, если разработчик обнаружит баг, который позволяет сделать рабочий эксплоит и обойти систему безопаности на уровне платформы, то он получит до 100 000 долларов. Так называемые "дыры в броне" - это самый опасный для компании вариант бага и за него полагается самое высокое вознаграждение. Фактически, данное вознаграждение даже превышает 50 000 долларов, которые компания выплачивала на BlueHat. Также есть свои сетки BugBounty и для Azure, Windows, Office 365, Xbox Live и других.
Источник