微軟更新政策,外部舉報漏洞就算官方已知情,一樣能獲得全額獎金
微軟宣布漏洞挖掘獎勵項目(Microsoft Bounty Program)將與HackerOne平台合作以加速漏洞挖掘獎金的發送,同時提高獎金及漏洞挖掘範圍,還變更了重複提交漏洞的獎勵政策,但凡是第一個提交的安全人員,都能獲得全額的獎金,不管微軟內部是否已經抓到該漏洞。
微軟在2018年總計發出了超過200萬美元的漏洞挖掘獎金,從今年1月起,微軟即開始加速獎金的發布流程,在Cloud、Windows及Azure DevOps漏洞挖掘項目中,只要微軟完成漏洞的評估或重現即會發送獎金,而不必再等到修補完成。
此外,未來微軟將與HackerOne平台合作以加速獎金支付程序,因此可提供更多的支付選項,涵蓋PayPal、加密貨幣、或多達30種法定貨幣的轉帳,也能拆分獎金並把它們捐給不同的慈善機構。
目前微軟與HackerOne的合作只限於漏洞挖掘獎金的發布,漏洞報告仍然是由微軟安全回應中心(Microsoft Security Response Center)負責。
今年微軟也將把Windows Insider Preview漏洞挖掘項目的最高獎金從1.5萬美元提高到5萬美元,將Microsoft Cloud漏洞挖掘項目的獎金從1.5萬美元提高到2萬美元,也將擴大Cloud項目與其它項目的漏洞挖掘範圍。
另一方面,過去當安全研究人員所舉報的漏洞是內部已知漏洞時,微軟僅會象徵性地提供10%的漏洞獎金,但微軟現在認為,光是得知外部研究人員所具備的發現能力就是有價值的,因此決定變更該政策,只要是第一個回應符合資格之漏洞的研究人員,就算是微軟內部已知的漏洞,也能獲得全額獎金。
※微軟擴大Windows 10 20H1的早期開發者測試
※OTT顛覆好萊塢生態,挑起電影界敏感神經
TAG:十輪網 |