Microsoft zet een grote stap in zijn beleid voor kwetsbaarheidsmeldingen. Met “in scope by default” komt elke kritieke kwetsbaarheid met aantoonbare impact op Microsofts online diensten in aanmerking voor een beloning, ook wanneer de fout zit in open-source of code van derden die die diensten beïnvloedt. Het doel is om onderzoekers te laten focussen waar echte aanvallers ook komen: de hele keten, niet alleen Microsofts eigen code.
Wat ‘in scope by default’ betekent voor onderzoekers en leveranciers
Onderzoekers mogen zich richten op Microsoft-domeinen en clouddiensten, inclusief onderdelen die via integraties of afhankelijkheden invloed hebben op de beveiliging van die diensten. Als er nog geen specifiek bountyprogramma voor een component bestaat, kan de melding toch worden beloond zodra de impact op Microsoft-diensten overtuigend is onderbouwd. Microsoft zegt meldingen snel te willen triageren en op te lossen, met beloningen als stimulans voor verantwoord disclosure.
Randvoorwaarden voor verantwoord testen zonder verstoring
De bekende regels van engagement blijven gelden: onderzoek gebeurt zonder misbruik van andermans accounts of sociale manipulatie, en zonder doelbewust verstoren van dienstverlening. Toegestane testen richten zich op het aantonen van impact binnen eigen, gecontroleerde omgevingen. Zo blijft er ruimte voor creatief en grondig onderzoek, terwijl risico’s voor klanten en productieomgevingen worden beperkt.
Waarom deze verruiming er nu toe doet
Aanvallen lopen steeds vaker door toeleveringsketens en externe componenten. Door de scope vanaf de start breed te zetten, verdwijnen grijze gebieden over “wel of niet in scope” en worden vroege signalen sneller opgepakt. De keerzijde—meer meldingen en triagedruk—vraagt om strak prioriteren en duidelijke eigenaarschap in engineeringteams.
Breder speelveld & snellere verdediging
Met “in scope by default” verschuift Microsoft van productgrenzen naar ketenrealiteit. Elke kritieke kwetsbaarheid die Microsoft-diensten raakt, is meld- én beloonbaar. Dat maakt verantwoord onderzoek effectiever en kan fixes versnellen—mits organisaties triage en opvolging strak organiseren.
Meer info lees je op https://www.microsoft.com/en-us/msrc/blog/2025/12/in-scope-by-default
