A teljes Windows bug-bounty-t kap

Kiterjeszti a teljes operációs rendszerre a Windows bug bounty programját a Microsoft. Ez egy biztonsági program, amely a hibák keresését és rendezett bejelentését ösztönzi, adott esetben jelentős összegekkel. Ráadásul az új program nem is időkorlátos, cserébe nem fizet túl jól.

Bug bounty, Microsoft módra

Maga a fizetett hibavadászat nem friss fejlemény, a Microsoft még 2013-ban indította az elsőt, az azonban még csak az operációs rendszer szűken megszabott részére, az Internet Explorer 11-re volt érvényes. Később a cég ugyanilyen hibavadászatot hirdetett a rendszer védelmi struktúráira is, mint az ASLR vagy a Hyper-V virtualizációs technológia. Ezek azonban ideiglenes programok voltak és csak a szoftverek előnézeti verzióira vonatkoztak, a végleges, kiadott termékekben talált és bejelentett hibákért nem járt már jutalom.

Ezek a fókuszterületek ezután is megmaradnak: a Windows 10, Windows Server 2012 és 2012 R2 illetve a bétás Windows Server alapon futó Hyper-V esetében hiba súlyosságától függően 5 ezer és 250 ezer dollár között lehet keresni egy bejelentéssel, az operációs rendszer védelmi megoldásai (DEP, ASLR, stb.) pedig 500 és 200 ezer között fizetnek. A többi fókuszterület nem jövedelmez ilyen jól, a Insider Preview-n futó Windows Defender Application Guard 500 és 30 000, a bétás Microsoft Edge 500 és 15 000 dollár között hoz.

Ami újdonság, hogy a fókuszterületeken kívül a Windows Insider Preview egészében lehet majd biztonsági rések után kutatni - és a bejelentést követően kifizetést remélni. A kifizetés nem túl magas, 500 és 15 ezer dollár közötti. A bug bountry program folyamatos, tehát időben nem limitált, de kizárólag az operációs rendszer béta kiadására, azon belül is a Slow Ring verzióra vonatkozik - a stabil, éles kiadásra tehát nem.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

A Microsoft logikája érthető, a cég azt szeretné, ha a professzionális hibakeresők a kiadás előtti termékekre fókuszálnának. Egyrészt kiadás előtt könnyebben lehet javítani a hibát, másrészt így megelőzhető, hogy a hiba tömeges telepítést kapjon - utólag ugyanis már nagyon nehéz teljes fedettséget biztosítani egy biztonsági rés elől, a biztonsági frissítések telepítési aránya sosem 100 százalék.

A bug bounty program (szokás szerint) szigorú feltételeket támaszt a bejelentővel szemben - legalábbis ha pénzt szeretne látni a bejelentésből. A legfontosabb, hogy a bejelentő a hiba nyilvánosságra hozásával várja meg, amíg a Microsoft kiadja az azt javító biztonsági frissítést és ne publikálja azt máshol. Így a cég tulajdonképp azt fizeti meg, hogy a hiba megtalálója nem sodorja potenciálisan veszélybe a felhasználókat.