Microsoft incluye todos sus servicios 'online' en su programa de recompensas por vulnerabilidades

   MADRID, 11 Dic. (Portaltic/EP) -

   Microsoft ha ampliado su programa de recompensas por vulnerabilidades ('bug bounty') para incluir en él todos sus servicios 'online', incluso aquellos que incorporan componentes de terceros o proyectos de código abierto.

    El programa de recompensas de Microsoft ha adoptado un enfoque denominado 'Incluido por defecto' para abarcar cualquier vulnerabilidad crítica que tenga un impacto directo y demostrable en sus servicios 'online', y no estar limitado a productos y servicios específicos.

    El motivo se encuentra en que las vulnerabilidades suelen aparecer en los puntos de conexión entre distintos componentes o cuando entran en juego dependencias, como explica el vicepresidente de Ingeniería, Microsoft Security Response Center, Tom Gallagher, en una nota de prensa.

    Por ello, recogerá la investigación que adopte una visión global y atienda tanto a la infraestructura de Microsoft como a las dependencias externas, ya sean soluciones comerciales o proyectos de código abierto.

   De esta forma, el programa de recompensas podrá premiar las vulnerabilidades identificadas en los dominios y servicios en la nube de Microsoft, aprovechando que los investigadores, al se externos a la empresa, pueden adoptar el punto de vista de un atacante.

    Asimismo, recompensará los fallos de seguridad en el código de terceros, incluido el software 'open source' para, de esta forma, "cerrar posibles vacíos en la investigación de seguridad y elevar el nivel de protección para todos los que dependen de este tipo de soluciones", apunta Gallagher.

   La compañía concedió el año pasado más de 17 millones de dólares (más de 14,5 millones de euros) en premios a investigaciones de seguridad de alto impacto entre el programa de recompensas y el evento de 'hacking' en directo Zero Day Quest.