微软宣布找Bug奖励政策(Microsoft Bounty Program)将与HackerOne平台合作以加速找Bug奖金的发送,同时提高奖金及找Bug范围,还变更了重覆提交漏洞的奖励政策,举凡是第一个提交的安全人员,都能获得全额的奖金,不管微软内部是否已经抓到该漏洞。
微软在2018年总计发出了超过200万美元的找Bug奖金,从今年1月起,微软即开始加速奖金的发放流程,在Cloud、Windows及Azure DevOps找Bug政策中,只要微软完成漏洞的评估或重制即会发送奖金,而不必再等到修补完成。
此外,未来微软将与HackerOne平台合作以加速奖金支付程序,因此可提供更多的支付选项,涵盖PayPal、加密货币、或多达30种法定货币的转帐,也能拆分奖金并把它们捐给不同的慈善机构。
目前微软与HackerOne的合作只限于找Bug奖金的发放,漏洞报告仍然是由微软安全回应中心(Microsoft Security Response Center)负责。
今年微软也将把Windows Insider Preview找Bug政策的最高奖金从1.5万美元提高到5万美元,将Microsoft Cloud找Bug政策的奖金从1.5万美元提高到2万美元,也将扩大Cloud政策与其它政策的找Bug范围。
另一方面,过去当安全研究人员所举报的漏洞是内部已知漏洞时,微软仅会象征性地提供10%的漏洞奖金,但微软现在认为,光是得知外部研究人员所具备的发现能力就是有价值的,因此决定变更该政策,只要是第一个回报符合资格之漏洞的研究人员,就算是微软内部已知的漏洞,也能获得全额奖金。
上文内容不用于商业目的,如涉及知识产权问题,请权利人联系博为峰小编(021-64471599-8017),我们将立即处理。
