白帽黑客幫助微軟保護數百萬用戶,微軟12個月向黑客支付1億獎金
在2019年7月1日至2020年6月30日期間,微軟已通過15個漏洞賞金計劃向已報告漏洞的安全研究人員提供了1,370萬美元的獎勵。
根據Microsoft安全響應中心博客上發布的年度Microsoft Bug賞金計劃回顧展,上一年440萬美元的Microsoft Bug賞金獎勵,今年是前一年獲得的金額的三倍以上。
該公司表示:“通過通過協調漏洞披露(CVD)發現并向Microsoft報告漏洞,安全研究人員繼續幫助我們確保了數百萬客戶的安全。”
“微軟致力于繼續增強我們的漏洞賞金計劃,并加強我們與安全研究界的伙伴關系。”
過去12個月內啟動的計劃
僅在2020年,微軟就啟動了兩個新的研究補助金和六個新的漏洞賞金計劃,從六大洲的327位安全研究人員那里收到了1,226個合格的漏洞報告。
1月份,該公司啟動了Xbox漏洞賞金計劃,該計劃針對通過清晰,簡潔證明(POC)提交的高質量遠程執行代碼漏洞的報告,提供最高20,000美元的賞金。
正如雷德蒙德當時所說的那樣,通過Xbox程序提交漏洞的研究人員還可以根據漏洞的影響和報告的質量來獲得更高的獎勵。
微軟在過去12個月中推出了另外四個賞金計劃,其中包括:
- Microsoft Dynamics 365賞金計劃,于2019年7月啟動
- Azure安全實驗室,于2019年8月啟動
- Microsoft Edge on Chromium Bounty計劃,于2019年8月啟動
- 選舉衛士賞金計劃,于2019年10月啟動
該公司還更新了以下程序:
- 身份賞金計劃,于2019年10月更新
- Windows Insider預覽賞金計劃,于2020年7月更新
并非所有安裝都受影響
5月,微軟發起了“Azure Sphere安全研究挑戰賽”,這是一項針對IoT的研究計劃,對于Azure Sphere IoT安全解決方案中發現的安全漏洞,將提供高達100,000美元的賞金。
除了Azure Sphere安全研究挑戰賽,該公司自2019年7月1日以來還添加了以下其他新研究計劃:
- 最有價值的研究人員認可計劃,2019年7月更新
- 安全研究員季度排行榜,自2019年8月開始
- 身份研究補助金,于2020年1月啟動
- 與Microsoft Research合作推出的Microsoft Security AI RFP,2020年3月
- 與CUJO AI,VMRay和MRG Effitas合作發起的機器學習安全性逃避競賽2020年6月
周一,微軟還與GitHub,Google,IBM,JPMC,NCC Group,OWASP Foundation和Red Hat一起作為開源成員加入了開源安全基金會(OpenSSF)。
此舉背后的目標是為開源開發人員提供最佳的安全工具和最佳實踐建議,并將修復開源軟件生態系統中的安全漏洞的時間從數月縮短至數分鐘。
