微軟更新政策，外部舉報漏洞就算官方已知情，一樣能獲得全額獎金

微軟宣布漏洞挖掘獎勵項目（Microsoft Bounty Program）將與HackerOne平台合作以加速漏洞挖掘獎金的發送，同時提高獎金及漏洞挖掘範圍，還變更了重複提交漏洞的獎勵政策，但凡是第一個提交的安全人員，都能獲得全額的獎金，不管微軟內部是否已經抓到該漏洞。

微軟在2018年總計發出了超過200萬美元的漏洞挖掘獎金，從今年1月起，微軟即開始加速獎金的發布流程，在Cloud、Windows及Azure DevOps漏洞挖掘項目中，只要微軟完成漏洞的評估或重現即會發送獎金，而不必再等到修補完成。

此外，未來微軟將與HackerOne平台合作以加速獎金支付程序，因此可提供更多的支付選項，涵蓋PayPal、加密貨幣、或多達30種法定貨幣的轉帳，也能拆分獎金並把它們捐給不同的慈善機構。

目前微軟與HackerOne的合作只限於漏洞挖掘獎金的發布，漏洞報告仍然是由微軟安全回應中心（Microsoft Security Response Center）負責。

今年微軟也將把Windows Insider Preview漏洞挖掘項目的最高獎金從1.5萬美元提高到5萬美元，將Microsoft Cloud漏洞挖掘項目的獎金從1.5萬美元提高到2萬美元，也將擴大Cloud項目與其它項目的漏洞挖掘範圍。

另一方面，過去當安全研究人員所舉報的漏洞是內部已知漏洞時，微軟僅會象徵性地提供10%的漏洞獎金，但微軟現在認為，光是得知外部研究人員所具備的發現能力就是有價值的，因此決定變更該政策，只要是第一個回應符合資格之漏洞的研究人員，就算是微軟內部已知的漏洞，也能獲得全額獎金。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！