MS，所有在線服務獎勵對象包含在內…漏洞懸賞範圍大幅擴展

微软(MSFT)宣布大幅擴展其漏洞懸賞計劃的適用範圍。从现在起，针对其所有在线服务的安全漏洞都将自动纳入奖励范围，開源及第三方軟體中出現的問題也將無一例外地接受評估。

此次變革的核心在於引入了"默認包含"政策。据此，微软新的在线服务在发布的同时即成为漏洞悬赏奖励对象，现有的数百万项服务也无需额外审批程序即可适用。由于不再需要逐项设定产品范围，安全研究人员可以大幅减少在判断哪些漏洞有效上所耗费的時間。

微软安全响应中心(MSRC)工程副總裁湯姆·加拉格爾強調，此次擴展並非簡單的行政程序變更，而是一次結構性改革。他表示："现在所有服务都自动包含在范围内，使得研究人员能够专注于那些对客户产生实际影响的漏洞，并更快地进行报告。"此外，微软还计划就第三方或开源代码中出现的问题，更积极地与研究人员合作进行修复或提供维护支持。

長期以來，漏洞懸賞計劃因範圍界定模糊或限制過多而備受詬病，被認為引發了研究人員的困惑並制約了研究活動。对此，安全公司Outpost24的人工智能產品總監馬丁·雅特柳斯表示："這一舉措涵蓋了企業整個漏洞暴露面，是一項重要的進步。"他对此表示歡迎，并警告稱：“攻擊者並不在意代碼的來源。無論是像React-to-Shell这样的框架还是微软自身的产品，只要能攻破，他们就会尝试。”

業界預測，此舉初期可能導致微软的奖励支付规模增加。但分析認為，隨著整體安全水平提升，長期來看將具有很高的成本效益。通过全面覆盖对用户和企业客户产生直接影响的漏洞，微软旨在提升其基於雲的安全生态系統的整體可信度。