微软上周四（12月11日）宣布调整旗下云端漏洞赏金计划（Bug Bounty Program）的评估方式，引入名为“In Scope by Default”的新原则。未来，只要漏洞实际影响微软的在线服务，即使漏洞源自第三方或开源组件，也将默认纳入漏洞奖励范围。

微软安全响应中心（Microsoft Security Response Center，MSRC）表示，过去漏洞赏金计划通常会事先界定明确的适用范围，研究人员报告的漏洞必须落在指定的产品或服务清单内，才有资格获得奖励。然而在实际攻击场景中，许多高风险漏洞并非直接存在于云端服务本身，而是来自其所依赖的第三方组件、开源组件或关联服务，即便对在线服务造成实质影响，仍可能因不在既定范围内而引发认定争议。

在“In Scope by Default”策略下，微软改以“是否对在线服务造成可验证影响”作为是否纳入漏洞赏金的主要依据，而不再预先限制漏洞必须出现在微软自有代码中。

MSRC进一步说明，安全漏洞经常出现在组件交互或依赖关系的边界上，未来将采用更广泛的安全研究视角，不仅涵盖微软自身的基础设施，也包括其所依赖的第三方依赖项，不论是否为开源组件或商业软件。

在实际执行上，MSRC指出，漏洞是否符合奖励资格，将以其是否对微软在线服务造成“直接且可验证的影响”为判断标准，而非代码归属。即使漏洞源自第三方或开源组件，只要影响成立，微软仍会受理报告并评估奖励，同时协调相关单位进行修复。微软也强调，相关报告仍须遵循既有的负责任披露规范，以确保研究过程不影响用户数据与服务稳定性。

对此，MSRC威胁情报策略总监Sherrod DeGrippo认为，这一做法反映了真实的威胁环境样貌，攻击者并不在乎代码归属，也不会受产品边界限制，因此防御方的漏洞奖励制度也不应自我设限，而这正是近年来协同式安全研究领域最重要的制度演进之一。