Microsoft dice que no pagará por bugs descubiertos

Microsoft dice que no pagará por bugs descubiertos

por

Microsoft finalmente ha manifestado que no tiene planes de pagar por bugs (fallas de seguridad) en su software, esto después de que varios rumores sugerieron que la empresa adoptaría el mismo ejemplo del programa de recompensas de Mozilla y Google.

“Valoramos el ecosistema de los investigadores y lo demostramos de diversas maneras, pero no creemos que el pago de vulnerabilidades sea lo mejor. Especialmente cuando dentro de la comunidad de investigadores las motivaciones no siempre son financieras. Es de conocimiento general que reconocemos las contribuciones de los investigadores – cuando se puntualizan los detalles de la vulnerabilidad – en nuestros boletines, con el lanzamiento de una actualización de seguridad (…)

No ofrecemos una recompensa monetaria por los errores, lo que hacemos es reconocer y honrar el talento. Muchas personas influyentes dentro de la comunidad de investigadores se unieron a nuestros equipos de seguridad como empleados de Microsoft. También entramos en  contacto directo con muchos vendedores  y en algunas ocasiones individualmente con los investigadores para probar nuestros productos contra vulnerabilidades antes de que sean liberados. Muchos de estos vendedores e individuos llaman nuestra atención debido a la forma única y de alta calidad con la que abordan y demuestran las vulnerabilidades que reportan al Microsoft Security Response Center (MSRC)”,  dijo  Jerry Bryant, Administrador del Programa para Seguridad de Microsoft.

Interesante punto de vista (casi suelto las lagrimas), pero lo cierto es que si pagaran por el número de vulnerabilidades en IE o Windows Vista, esto se volvería un negocio rentable para los cazadores de bugs debido a la gran cantidad registrada. El mismo caso se aplica para Adobe Reader quien acaba de anunciar que incorporará un “Modo protegido” para reducir los ataques que le dieron la corona del Software más inseguro en el 2009 (según Forbes), corona que este año porta con orgullo Apple con iTunes, Safari y QuickTime.

Link: Microsoft Says No to Paying Bug Bounties (Threatpost)