微软上周四(12/11)宣布调整旗下云计算漏洞奖金计划(Bug Bounty Program)评估方式,导入名为“In Scope by Default”的新原则。未来只要漏洞实际影响微软的线上服务,即使漏洞源自第三方或开源组件,也将默认纳入漏洞奖励范围。
微软安全回应中心(Microsoft Security Response Center,MSRC)表示,过去漏洞奖金计划通常会事先界定明确的适用范围,研究人员回应的漏洞必须落在指定的产品或服务清单内,才有资格获得奖励。然而在实际攻击场景中,许多高风险漏洞并非直接存在于云计算服务本身,而是来自其所依赖的第三方组件、开源组件或相依服务,即便对线上服务造成实质影响,仍可能因不在既定范围内而引发认定争议。
在“In Scope by Default”策略下,微软改以“是否对线上服务造成可验证影响”作为是否纳入漏洞奖金的主要依据,而不再先行限制漏洞必须出现在微软自家程序代码中。
MSRC进一步说明,安全漏洞经常出现在组件互动或相依关系的边界上,未来将采用更广泛的安全研究视角,不仅涵盖微软自身的基础架构,也包括其所依赖的第三方依赖性,不论是开源组件或商用软件。
在实务执行上,MSRC指出,漏洞是否符合奖金资格,将以其是否对微软线上服务造成“直接且可验证的影响”为判断标准,而非程序代码归属。即使漏洞源自第三方或开源组件,只要影响成立,微软仍会受理回应并评估奖励,同时协调相关单位进行修补。微软也强调,相关回应仍须遵循既有的负责任披露规范,以确保研究过程不影响用户数据与服务稳定性。
对此,MSRC威胁情报策略总监Sherrod DeGrippo认为,该做法反映出真实的威胁环境面貌,攻击者并不在乎程序代码归属,也不会受产品边界限制,因此防御方的漏洞奖励制度也不应自我设限,而这也是近年来协调式安全研究领域中,最重要的制度演进之一。
