Încă de la apariția primelor programe de recompense pentru descoperirea vulnerabilităților, firmele din tehnologie au folosit aceste inițiative ca un mijloc practic de a-și consolida securitatea. La conferința Black Hat Europe, Microsoft a anunțat o extindere semnificativă a programului său de recompense, care acum acoperă și vulnerabilitățile găsite în codul terților ce afectează serviciile sale online și componentele AI. Comunicatul venit din partea lui Tom Gallagher, vicepreședinte în Microsoft Security Response Center, marchează o modificare importantă în modul de colaborare cu cercetătorii în securitate.
Schimbarea, denumită In Scope by Default, implică faptul că nu mai contează doar cine deține sau a scris codul: dacă o vulnerabilitate are un impact direct și demonstrabil asupra serviciilor Microsoft, poate fi eligibilă pentru recompensă. Gallagher a spus că obiectivul este încurajarea cercetărilor în zonele cu risc ridicat, acolo unde actorii rău intenționați ar fi cel mai probabil să profite de probleme. Practic, dacă o bibliotecă open source sau un modul de la un terț compromite o funcționalitate online a Microsoft, acea descoperire intră în aria de interes a programului de bug bounty, iar compania își asumă responsabilitatea remedierii.
Anunțul nu constituie o garanție că orice raport va primi o plată; eligibilitatea se va stabili în funcție de impactul demonstrabil asupra produselor și serviciilor Microsoft. Totuși, în situațiile în care nu există deja un program de recompense care să acopere respectiva muncă de cercetare, Microsoft afirmă că va recunoaște și va recompensa contribuțiile valoroase ale comunității de securitate. În plus, extinderea vine cu clarificări privind așteptările față de cercetători, încurajând o colaborare responsabilă oriunde sunt afectați clienții companiei.
Pe lângă lărgirea domeniului de aplicare, Microsoft pune accent pe colaborare în ariile pe care le controlează, cum ar fi domeniile proprietate Microsoft și serviciile cloud, deoarece cercetătorii externi au adesea o perspectivă de atacant și pot descoperi probleme pe care echipele interne le ratează. De asemenea, compania subliniază importanța abordării vulnerabilităților din codul terților, inclusiv din proiectele open source, pentru a elimina lacunele care pot periclita numeroase servicii și utilizatori. În practică, asta înseamnă că un raport bine documentat despre o bibliotecă folosită pe scară largă poate primi acum atenție și compensație din partea Microsoft dacă impactul este relevant.
Microsoft reamintește că toate aceste activități trebuie să respecte regulile de angajament pentru cercetare responsabilă, astfel încât datele și intimitatea clienților să fie protejate. Cercetătorii sunt invitați să cunoască aceste reguli înainte de a începe testele și să trimită constatările pentru evaluare și divulgare coordonată. Modelul urmărește să găsească un echilibru între nevoia de transparență a comunității și obligația companiilor de a proteja infrastructura și utilizatorii.
Zero Day Quest a plătit anul trecut peste 17 milioane de dolari pentru cercetări cu impact mare. Extinderea programului ridică discuții despre dependența industriei de codul open source și despre responsabilitatea partajată pentru securitate, precum și despre modalitățile prin care companii mari, cercetători independenți și proiecte comunitare pot coopera eficient. Dacă Microsoft va finanța remedierile pentru probleme în cod terț, acest lucru ar putea stimula o abordare mai sistematică a soluțiilor, dar va pune și presiune pe procesele de coordonare dintre dezvoltatori, furnizori și cercetători.
Credeți că extinderea programelor de recompense va accelera remedierea vulnerabilităților din ecosistemul open source sau va complica responsabilitățile dezvoltatorilor terți?
Fii primul care comentează