整理 | 如煙

出品 | 51CTO技術(shù)棧（微信號：blog51cto）

微軟的漏洞賞金計劃已經(jīng)推出十個年頭。在這十年時間里，微軟累計向安全研究人員支付了 6,300 萬美元（折合人民幣約 4.5 億元）獎金，其中有 6,000 萬美元是在過去五年中支付的。

微軟官方也在慶祝漏洞賞金計劃推出十周年的文章提到，自 2013 年成立以來，微軟已向來自 70 個國家的數(shù)千名安全研究人員提供了超過 6000 萬美元的資助。這些研究人員根據(jù)協(xié)調(diào)漏洞披露發(fā)現(xiàn)并報告了漏洞，幫助微軟應(yīng)對不斷發(fā)展的安全威脅形勢和新興技術(shù)。  

1、在賞金計劃上狠狠“砸錢”

2013年，微軟正式啟動漏洞賞金計劃，專注于 Windows 8.1 和 Internet Explorer 11 中的漏洞。最初，微軟每年收到的漏洞報告不到 100 份，只有幾十名研究人員參與，每年獲得數(shù)十萬美元的獎勵。

 2019 年初，微軟改進(jìn)了賞金計劃，增加了對漏洞賞金的投資，將最具影響力報告的獎勵金額提高到行業(yè)平均水平的 2 至 10 倍。

這一策略在快速擴大賞金計劃項目上取得了巨大成功。在 2019 財年，微軟賞金報告、計劃參與者和獎勵數(shù)量比上一年增加了一倍多。從 2020 年開始，微軟每年向大約 300 名研究人員 提供超過 1300 萬美元的資助，而且這一數(shù)額還在不斷增加。

2020 年 7 月，微軟推出了基于場景類別的賞金計劃，用于發(fā)現(xiàn)對客戶隱私和安全構(gòu)成嚴(yán)重風(fēng)險的漏洞，這一計劃獎金額度更高，最高可達(dá)10萬美元。微軟方面表示，研究人員齊心協(xié)力，發(fā)現(xiàn)的零點擊遠(yuǎn)程代碼執(zhí)行 (RCE) 或跨租戶漏洞的數(shù)量同比增加了50%以上。”

如今，微軟正在運行 17 個漏洞賞金計劃，涵蓋Azure、Edge、Microsoft 365、Windows、Xbox 等產(chǎn)品。針對 Hyper-V 虛擬機管理程序中影響較大的漏洞提供高達(dá) 25 萬美元的獎勵。

2、軟件真的更安全了嗎?

漏洞賞金計劃看上去是高效暴露漏洞的萬靈丹，但這樣做真的能確保軟件安全嗎？

曾在微軟任職 7 年，并致力于推動賞金計劃實施的 Katie Moussouris 給出了否定的答案。更諷刺的是，她將此歸因于漏洞賞金平臺的興起，以及開發(fā)人員把重點放在漏洞披露計劃和賞金上，而不是做安全軟件開發(fā)的工作。

她解釋稱:“這兩項都在投資范圍內(nèi)，賞金是一部分，更重要的是你要真正解決漏洞問題?！?/p>

Moussouris 的理念是，必須盡可能多地防止漏洞和修復(fù)漏洞，才可以公開漏洞披露或漏洞獎勵計劃。

除了 Moussouris 提到的開發(fā)人員應(yīng)該關(guān)注的工作重點，有調(diào)研機構(gòu)從人性的視角審視了這個問題：如果所謂的道德黑客中有人不那么道德會怎樣？如果粗心大意的賞金獵手就是沒能報告漏洞會如何？如果沒報告的漏洞后續(xù)暴露出來可能導(dǎo)致公司無法承擔(dān)的代價會怎樣？

有報告指出，典型的漏洞賞金計劃為快速發(fā)現(xiàn)漏洞問題提供了激勵，這種操作理論上很高產(chǎn)，但并不能抹殺恰當(dāng)審查的必要性和保障計劃覆蓋整個攻擊界面的重要性。

3、不能只用金錢來評估項目是否成功

為了使軟件和硬件產(chǎn)品更加安全，Moussouris 建議形成“具體的反饋循環(huán)”，將漏洞獎勵學(xué)習(xí)反饋到組織的安全開發(fā)生命周期中。

此外，那些管理獎金的人應(yīng)該制定“更有意義的指標(biāo)”來評估他們的項目是否成功，而不僅僅是通過向多少研究人員支付了多少現(xiàn)金來評估。

Moussouris 提出，“我們必須明確建立一個明確的標(biāo)準(zhǔn)，將漏洞賞金計劃和安全開發(fā)生命周期聯(lián)系起來。比如通過賞金計劃是否減少或消除了各種漏洞？以及修復(fù)關(guān)鍵漏洞的平均時間是否減少？如果沒有，那么就要根據(jù)情況適當(dāng)分配資源?！?/p>

參考鏈接： 

https://www.theregister.com/2023/11/22/microsofts_bug_bounty_moussouris/

https://msrc.microsoft.com/blog/2023/11/celebrating-ten-years-of-the-microsoft-bug-bounty-program-and-more-than-60m-awarded/