微軟更新雲端漏洞獎勵政策，第三方元件影響也納入評估

微軟上周四（12/11）宣布調整旗下雲端漏洞獎金計畫（Bug Bounty Program）評估方式，導入名為「In Scope by Default」的新原則。未來只要漏洞實際影響微軟的線上服務，即使漏洞源自第三方或開源元件，也將預設納入漏洞獎勵範圍。

微軟安全回應中心（Microsoft Security Response Center，MSRC）表示，過去漏洞獎金計畫通常會事先界定明確的適用範圍，研究人員回報的漏洞必須落在指定的產品或服務清單內，才有資格獲得獎勵。然而在實際攻擊情境中，許多高風險漏洞並非直接存在於雲端服務本身，而是來自其所依賴的第三方套件、開源元件或相依服務，即便對線上服務造成實質影響，仍可能因不在既定範圍內而引發認定爭議。

在「In Scope by Default」策略下，微軟改以「是否對線上服務造成可驗證影響」作為是否納入漏洞獎金的主要依據，而不再先行限制漏洞必須出現在微軟自家程式碼中。

MSRC進一步說明，安全漏洞經常出現在元件互動或相依關係的邊界上，未來將採用更廣泛的安全研究視角，不僅涵蓋微軟自身的基礎架構，也包括其所依賴的第三方相依性，不論是開源元件或商用軟體。

在實務執行上，MSRC指出，漏洞是否符合獎金資格，將以其是否對微軟線上服務造成「直接且可驗證的影響」為判斷標準，而非程式碼歸屬。即使漏洞源自第三方或開源元件，只要影響成立，微軟仍會受理回報並評估獎勵，同時協調相關單位進行修補。微軟也強調，相關回報仍須遵循既有的負責任揭露規範，以確保研究過程不影響使用者資料與服務穩定性。

對此，MSRC威脅情報策略總監Sherrod DeGrippo認為，此一作法反映出真實的威脅環境樣貌，攻擊者並不在乎程式碼歸屬，也不會受產品邊界限制，因此防禦方的漏洞獎勵制度亦不應自我設限，而這也是近年來協調式資安研究領域中，最重要的制度演進之一。