مايكروسوفت تفتح أبواب مكافآت اكتشاف الثغرات: مكافآت الآن حتى على الشيفرات الخارجية

في خطوة واسعة النطاق، باتت مايكروسوفت تكافئ الباحثين على اكتشاف الثغرات في أي شيفرة - بغض النظر عن كاتبها - طالما أن خدماتها الإلكترونية معرضة للخطر.

عندما يتعلق الأمر بالهجمات السيبرانية، لا يهتم المجرمون باسم صاحب الشيفرة. التحديث الأخير لبرنامج مكافآت اكتشاف الثغرات من مايكروسوفت يعكس أخيرًا هذه الحقيقة. في توسع جريء، ستدفع عملاقة التكنولوجيا الآن مقابل الثغرات المكتشفة في الشيفرات الخارجية والمفتوحة المصدر - إذا كانت تهدد خدمات مايكروسوفت الإلكترونية. الرسالة واضحة: إذا كان ذلك يعرض مستخدمي مايكروسوفت للخطر، فهو شأن الجميع.

حقائق سريعة

برنامج مكافآت اكتشاف الثغرات من مايكروسوفت يشمل الآن الثغرات في الشيفرات الخارجية والمفتوحة المصدر التي تؤثر على خدماتها الإلكترونية.
هذا التغيير، الذي يسري فورًا، جزء من مبادرة "مستقبل آمن" لمايكروسوفت.
أي ثغرة حرجة لها تأثير واضح على خدمات مايكروسوفت الإلكترونية مؤهلة للحصول على مكافأة.
تُدرج الخدمات الإلكترونية الجديدة ضمن نطاق المكافآت فور إطلاقها.
تهدف مايكروسوفت إلى سد فجوات البحث ورفع مستوى الأمان لكل الشيفرات التي تشغل منصاتها.

لسنوات، انتقد الباحثون الأمنيون حدود برامج مكافآت اكتشاف الثغرات التقليدية. فكثير منها يكافئ فقط على الثغرات في الشيفرات التي تملكها الشركة مباشرة، ما يترك ثغرات خطيرة في المكونات الخارجية أو المفتوحة المصدر دون معالجة - ودون مكافأة. ومع ذلك، لطالما عرف المهاجمون أن أضعف حلقة في سلسلة توريد البرمجيات غالبًا ما تكون سبب انهيار النظام بأكمله.

سياسة مايكروسوفت الجديدة "ضمن النطاق افتراضيًا" تكسر هذه الحدود. "إذا كانت هناك ثغرة حرجة لها تأثير مباشر وملموس على خدماتنا الإلكترونية، فهي مؤهلة للحصول على مكافأة، بغض النظر عما إذا كانت الشيفرة مملوكة ومدارة من قبل مايكروسوفت أو طرف ثالث أو مفتوحة المصدر، سنفعل كل ما يلزم لمعالجة المشكلة"، قال توم غالاغر، نائب رئيس مايكروسوفت. منطق الشركة بسيط: القراصنة لا يفرقون بين الشيفرة الداخلية أو الخارجية عند التخطيط لهجماتهم. فلماذا يجب أن يفرق المدافعون؟

يعني البرنامج الموسع أن الباحثين الذين يكتشفون ثغرات - سواء في خدمة تملكها مايكروسوفت أو مكتبة مفتوحة المصدر مستخدمة على نطاق واسع - يمكنهم الآن تقديم نتائجهم والحصول على مكافأة، طالما أن منظومة مايكروسوفت الإلكترونية معرضة للخطر. ويأتي هذا التحول في توقيت مهم مع اعتماد الحوسبة السحابية والخدمات المدعومة بالذكاء الاصطناعي بشكل متزايد على شيفرات من مصادر متنوعة.

هذه الخطوة تغلق أيضًا فجوة تحفيزية طويلة الأمد. سابقًا، ربما تردد الباحثون في التحقيق أو الإبلاغ عن ثغرات خارجية، وهم يعلمون أنه لا توجد مكافأة - حتى لو كان ملايين المستخدمين معرضين للخطر. الآن، تشير مايكروسوفت إلى أن كل الأبحاث الأمنية مهمة، بغض النظر عن مكان وجود الثغرة.

مع إدراج الخدمات الإلكترونية الجديدة تلقائيًا ضمن النطاق، ووعد بخلق مكافآت حيث لم تكن موجودة من قبل، تراهن مايكروسوفت بقوة على أن النهج الأكثر شمولية سيجعل منصاتها - والإنترنت بشكل عام - أكثر أمانًا للجميع.