Microsoft gaat bugbounty's uitkeren voor kwetsbaarheden in thirdpartysoftware

In dit artikel:

Microsoft verandert zijn bugbountybeleid: tijdens Black Hat Europe kondigde het bedrijf een nieuw model aan dat alle online diensten standaard onder het bugbountyprogramma plaatst ("In Scope by Default"). Nieuwe Microsoft-diensten vallen vanaf livegang automatisch binnen de scope; voorheen had elke dienst een aparte, soms beperkende scope.

Een opvallende uitbreiding is dat Microsoft voortaan ook beloningen uitkeert voor kwetsbaarheden in thirdpartysoftware die risico’s vormen voor Microsofts online diensten. Daarbij worden opensourceprojecten expliciet genoemd. De beloning geldt echter alleen als de maker van die software zelf geen eigen bugbountyprogramma heeft.

De stap sluit aan bij eerder initiatief van Google (sinds 2013 beperkt betalingen voor bugs in opensource), maar andere grote spelers zoals Apple en Meta hebben nog geen vergelijkbare regeling. De wijziging moet zorgen voor bredere beveiligingsdekking en meer stimulans voor onderzoekers om kwetsbaarheden te melden.