Microsoft(MSFT) kündigt eine erhebliche Erweiterung seines Bug-Bounty-Programms an. Ab sofort werden Sicherheitslücken in all ihren Online-Diensten automatisch in den Geltungsbereich aufgenommen, Probleme in Open-Source- und Drittanbieter-Software werden ohne Ausnahme bewertet.
Der Kern dieser Veränderung liegt in der Einführung der “Standardinklusion”-Politik. Demnach werden neue Online-Dienste von Microsoft bei ihrer Veröffentlichung sofort in den Bug-Bounty-Geltungsbereich aufgenommen, und bestehende Millionen von Diensten benötigen keine zusätzlichen Genehmigungsverfahren. Da die Produktbereiche nicht mehr einzeln festgelegt werden müssen, können Sicherheitsexperten erheblich Zeit sparen, die sonst für die Beurteilung der Gültigkeit von Schwachstellen aufgewendet wird.
Tom Gallagher, Vice President des Microsoft Security Response Center(MSRC), betonte, dass diese Erweiterung kein einfacher administrativer Vorgang sei, sondern eine strukturelle Reform darstelle. Er sagte: “Jetzt sind alle Dienste automatisch im Geltungsbereich enthalten, was es Forschern ermöglicht, sich auf Schwachstellen zu konzentrieren, die tatsächliche Auswirkungen auf Kunden haben, und diese schneller zu melden.” Zudem plant Microsoft, bei Problemen in Drittanbieter- oder Open-Source-Code noch proaktiver mit Forschern zusammenzuarbeiten, um diese zu beheben oder Wartungsunterstützung zu bieten.
Seit langem wird das Bug-Bounty-Programm wegen unklarer oder zu restriktiver Begrenzungen kritisiert, was zu Verwirrung bei Forschern führte und die Forschungsaktivitäten einschränkte. Dazu sagte Martin Jätlius, Director of AI Products bei Sicherheitsfirma Outpost24: “Diese Maßnahme deckt die gesamte Schwachstellenexposition eines Unternehmens ab und ist ein bedeutender Fortschritt.” Er begrüßte dies und warnte: “Angreifer interessieren sich nicht für die Herkunft des Codes. Ob es sich um Frameworks wie React-to-Shell oder Microsoft-eigene Produkte handelt, solange sie angreifbar sind, werden sie ausprobiert.”
Branchenexperten prognostizieren, dass diese Maßnahme anfangs zu einer Erhöhung der Auszahlungen im Rahmen des Rewards-Programms führen könnte. Es wird jedoch angenommen, dass die langfristige Verbesserung der Sicherheitslage die Kosten-Nutzen-Relation erheblich steigert. Durch die umfassende Abdeckung von Schwachstellen, die direkte Auswirkungen auf Nutzer und Unternehmenskunden haben, zielt Microsoft darauf ab, das Vertrauen in sein cloudbasiertes Sicherheitsökosystem insgesamt zu stärken.
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
