MS，所有在线服务奖励对象包含在内…漏洞悬赏范围大幅扩展

微软(MSFT)宣布大幅扩展其漏洞悬赏计划的适用范围。从现在起，针对其所有在线服务的安全漏洞都将自动纳入奖励范围，开源及第三方软件中出现的问题也将无一例外地接受评估。

此次变革的核心在于引入了"默认包含"政策。据此，微软新的在线服务在发布的同时即成为漏洞悬赏奖励对象，现有的数百万项服务也无需额外审批程序即可适用。由于不再需要逐项设定产品范围，安全研究人员可以大幅减少在判断哪些漏洞有效上所耗费的时间。

微软安全响应中心(MSRC)工程副总裁汤姆·加拉格尔强调，此次扩展并非简单的行政程序变更，而是一次结构性改革。他表示："现在所有服务都自动包含在范围内，使得研究人员能够专注于那些对客户产生实际影响的漏洞，并更快地进行报告。"此外，微软还计划就第三方或开源代码中出现的问题，更积极地与研究人员合作进行修复或提供维护支持。

长期以来，漏洞悬赏计划因范围界定模糊或限制过多而备受诟病，被认为引发了研究人员的困惑并制约了研究活动。对此，安全公司Outpost24的人工智能产品总监马丁·雅特柳斯表示："这一举措涵盖了企业整个漏洞暴露面，是一项重要的进步。"他对此表示欢迎，并警告称：“攻击者并不在意代码的来源。无论是像React-to-Shell这样的框架还是微软自身的产品，只要能攻破，他们就会尝试。”

业界预测，此举初期可能导致微软的奖励支付规模增加。但分析认为，随着整体安全水平提升，长期来看将具有很高的成本效益。通过全面覆盖对用户和企业客户产生直接影响的漏洞，微软旨在提升其基于云的安全生态系统的整体可信度。