I cacciatori di bug quest'estate non andranno in vacanza o comunque continueranno a vigilare, viste le allettanti ricompense previste da Microsoft nel nuovo Windows Bounty Program, appena presentato. Un programma indirizzato a sviluppatori software, developer e semplici appassionati di codice, i quali potranno guadagnare dai 500 ai 250mila dollari, a seconda della gravità del problema rilevato. È dal 2012 che la società di Redmond porta avanti questa politica di ricompense per stimolare la collaborazione di una intera community altamente familiarizzata con Windows.
“La sicurezza è in continuo cambiamento”, scrive l'azieda in un blogpost, “e diamo priorità a diversi tipi di vulnerabilità in tempi diversi”. In questo Microsoft non è diversa da altri colossi del software e dei servizi, come Google, Apple e Facebook, tutte ugualmente disposte a sborsare cifre generose in cambio di collaborazione.
Il programma varato ieri invita a ricercare eventuali falle all'interno delle versioni di anteprima (Insider Preview) di Windows, innanzitutto, e poi in Hyper-V, Mitigation Bypass, Windows Defender Application Guard ed Edge. Verranno ricompensate tutte le segnalazioni valide di vulnerabilità valutate come “importanti” o “critiche”, relative a difetti di programmazione o a bug che consentono l'esecuzione di codice da remoto o l'ottenimento di privilegi (nel ruolo utente) o la compromissione della privacy e della sicurezza.
Nel caso Microsoft riceva una soffiata su un bug già noto, verrà comunque elargita al primo autore della segnalazione una parziale o totale ricompensa, non inferiore al 10% del valore originariamente previsto. Le “taglie” più sostanziose riguardano i difetti di Hyper-V su Windows 10 e Windows Server: si può arrivare addirittura a 250mila dollari. Per Mitigation bypass e Bounty for defense si arriva a 200mila dollari, per Windows Defender Application Guard a 30mila, per Edge e per altri elementi di Windows Insider Preview a 15mila dollari. Le segnalazioni vanno inviate all'indirizzo secure@microsoft.com e saranno trattate secondo le procedure previste dal Coordinated Vulnerability Disclosure.