Microsofts Bug Bounty-Programm wird jetzt sehr viel attraktiver

Geld, Bezahlen, Geldbörse Bildquelle: StockMonkeys.com / Flickr
Microsoft hat sich neue Regeln für das hauseigene Bug Bounty-Programm verpasst, die Sicherheitsforschern deutliche Vorteile bringen. In erster Linie wurden natürlich die ausgelobten Gelder deutlich aufgestockt, so dass es attraktiver wird, Fehler nach Redmond zu melden. Man kommt zusätzlich aber auch noch deutlich schneller an das Geld. Wie Microsoft mitteilte, werde man beim Bug Bounty-Programm zukünftig mit der Plattform HackerOne zusammenarbeiten, was für die Sicherheitsforscher eine ganze Reihe von Vorteilen bringen wird. In erster Linie wird die Ausschüttung nicht mehr wie bisher erst dann erfolgen, wenn ein Patch entwickelt und herausgegeben ist. Zukünftig genügt es, dass Informationen über eine Sicherheitslücke eingegangen sind und nachvollzogen werden können.

Durch die Kooperation mit HackerOne wird es außerdem für Entwickler einfacher, die nicht in den USA leben. Denn die Belohnungen aus dem Programm werden auch per PayPal, in Kryptowährungen sowie in 30 weiteren Ländern per direkter Banküberweisung angeboten. Unterstützt wird auch eine Splittung der Beträge, wenn eine Gruppe von Forschern an der Fehleranalyse gearbeitet hat, sowie die Entscheidung, Prämien direkt an gemeinnützige Zwecke zu spenden.

Mehr Geld!

Darüber hinaus stockt Microsoft die Belohnungen zum Teil deutlich auf. Bug Bountys im Rahmen des Windows Insider Preview-Programms beliefen sich bisher auf maximal 15.000 Dollar. Hier können zukünftig in besonderen Fällen sogar bis zu 50.000 Dollar gezahlt werden. Und im Cloud-Segment erhöhen die Redmonder die ausgelobten Prämien von 15.000 auf 20.000 Dollar.

Eine Änderung gibt es auch bei der Meldung von Bugs, die intern schon bekannt sind und auf der nichtöffentlichen To-Do-Liste stehen. Hier hat Microsoft bisher 10 Prozent der üblichen Summe ausgezahlt. Zukünftig wird der erste Einsender hingegen den vollen Betrag erhalten und Nachfolgende dann weiterhin die 10 Prozent. Dass es hier überhaupt etwas gibt, begründet Microsoft damit, dass nicht nur Informationen zu bisher unbekannten Schwachstellen von Interesse sind. Für Microsoft ist es auch ein wichtiger Gradmesser für die Dringlichkeit einer Patch-Entwicklung, ob und wie viel Unabhängige dem gleichen Problem auf die Spur kommen. Microsoft, bug bounty, MSRC Microsoft, bug bounty, MSRC Microsoft
2019-04-04T15:16:00+02:00
Diese Nachricht empfehlen
Kommentieren3
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Video-Empfehlungen

Tipp einsenden