Microsoft Corp., hata ödül programında büyük bir güncelleme yaptığını duyurdu ve kapsamı çevrimiçi hizmetlerini etkileyen her türlü güvenlik açığını kapsayacak şekilde genişletti. “Varsayılan Olarak Kapsamda” olarak adlandırılan bu yeni çerçeve, teknoloji devinin koordineli güvenlik açığı ifşasına yaklaşımında önemli bir değişikliktir.
Bu güncellenmiş model kapsamında, her Microsoft çevrimiçi hizmeti, başlatıldığı andan itibaren otomatik olarak ödül ödüllerine hak kazanır. Daha önce şirket, ürüne özel kapsam tanımlarına güveniyordu; bu da genellikle güvenlik araştırmacıları için kafa karışıklığına neden oluyordu ve ödüllere uygun güvenlik açıklarının çeşitliliğini sınırlıyordu. Microsoft, tüm hizmetleri Varsayılan Kapsamda hale getirerek hata ödül programına katılımı daha öngörülebilir hale getirmeyi ve aynı zamanda kritik güvenlik açıklarının kökenlerine bakılmaksızın ele alınmasını ve teşvik edilmesini sağlamayı amaçlamaktadır.
Genişletilmiş kapsamın önemli bir özelliği, Microsoft hizmetlerine entegre edilmiş üçüncü taraf ve açık kaynak bileşenlerini kapsamasıdır. Bu, Microsoft’un bulut altyapısını güçlendiren dış kitaplıklardaki, bağımlılıklardaki veya açık kaynak paketlerindeki güvenlik açıklarının artık yalnızca Microsoft’un kendi yazılımındaki kusurlar için değil, hata ödülü ödülleri için uygun olduğu anlamına geliyor.
Bug Bounty Güvenlik Teşviklerinde Stratejik Bir Değişim
Microsoft Güvenlik Yanıt Merkezi’nde (MSRC) mühendislikten sorumlu başkan yardımcısı Tom Gallagher, 11 Aralık 2025 tarihli bir blog gönderisinde değişikliğin önemini vurguladı. Bunu idari bir düzenlemeden daha fazlası olarak tanımladı ve bunu gerçek dünyadaki riskleri yansıtacak şekilde tasarlanmış yapısal bir yeniden düzenleme olarak nitelendirdi. Gallagher, Microsoft’un tüm hizmetleri varsayılan olarak kapsama dahil ederek raporlama gecikmelerini azaltmayı, kafa karışıklığını en aza indirmeyi ve araştırmacıların müşteriler üzerinde anlamlı etki yaratacak şekilde güvenlik açıklarına odaklanmasına olanak sağlamayı umduğunu açıkladı.
Gallagher, “Microsoft’un çevrimiçi hizmetleri, açık kaynak da dahil olmak üzere üçüncü taraf kodundaki güvenlik açıklarından etkileniyorsa bunu bilmek istiyoruz” dedi. “Daha önce bu hayati çalışmayı ödüllendirecek bir ödül ödülü yoksa, bir tane sunacağız. Bu, güvenlik araştırmalarındaki açığı kapatıyor ve bu kurala güvenen herkes için güvenlik çıtasını yükseltiyor.”
Yeni politika aynı zamanda Microsoft’un yukarı akış veya üçüncü taraf güvenlik açıkları konusunda araştırmacılarla daha etkili bir şekilde işbirliği yapmasına da olanak tanıyor. Şirket artık harici kod tabanlarındaki sorunlar Microsoft hizmetlerini doğrudan etkilediğinde düzeltmelerin geliştirilmesine yardımcı olabilir veya bakım sağlayıcıları destekleyebilir.
Sektörün Tepkisi ve Beklenen Etki
Artık tüm yeni Microsoft çevrimiçi hizmetleri ilk günden itibaren hata ödülü kapsamına giriyor ve milyonlarca mevcut uç noktanın hak kazanmak için artık manuel onay alması gerekmiyor. Güncelleştirme, güvenlik profesyonellerinin Microsoft’un geniş ekosistemindeki güvenlik açıklarını tespit etmesini ve raporlamasını kolaylaştırmak için tasarlandı.
Yeni yaklaşım, Microsoft’un, saldırganların sahipliğine bakılmaksızın her türlü zayıf bağlantıdan yararlandığı yapay zeka ve bulut öncelikli bir ortamda daha geniş güvenlik felsefesiyle uyumlu. Gallagher’a göre, “Güvenlik açıkları genellikle bileşenlerin etkileşimde bulunduğu veya bağımlılıkların söz konusu olduğu bağlantı noktalarında ortaya çıkıyor. Bu daha geniş perspektifi ele alan, yalnızca Microsoft altyapısını değil aynı zamanda üçüncül altyapıyı da kapsayan araştırmalara değer veriyoruz.”ticari yazılım ve açık kaynak bileşenleri de dahil olmak üzere taraf bağımlılıkları.
Geçen yıl, Microsoft’un hata ödül programı ve Zero Day Quest canlı hackleme etkinliği, yüksek etkili keşifler için araştırmacılara 17 milyon dolardan fazla ödül verdi. Şirket, Varsayılan Kapsama Göre girişimiyle, özellikle Microsoft’a ait etki alanları, bulut hizmetleri ve üçüncü taraf veya açık kaynak kodunu içeren alanlarda uygunluğu daha da genişletmeyi bekliyor.
Programa katılan araştırmacıların Microsoft’un Sorumlu Güvenlik Araştırması için Katılım Kurallarına uyması, müşteri gizliliğini ve veri korumasını sağlaması ve aynı zamanda koordineli güvenlik açığı ifşasına olanak sağlaması bekleniyor. Microsoft, hata ödülü kapsamını genişleterek genel güvenlik çıtasını yükseltmeyi hedefliyor.