但是僅提供bug報(bào)告本身將大大改善Microsoft的安全性

微軟安全響應(yīng)中心團(tuán)隊(duì)(MSRC)今天宣布，他們將啟動(dòng)一個(gè)新的針對(duì)性Windows Bug Bounty程序(恰當(dāng)?shù)胤Q為“ Windows Bounty Program”)，希望在漏洞到達(dá)黑市之前就將其捕獲。Windows Bug Bounty程序的添加是Microsoft全面努力的一部分，以提高其響應(yīng)速度和防御安全漏洞的能力。

這個(gè)新的Windows Bug Bounty程序?qū)⒃趲椭R(shí)別和修補(bǔ)Microsoft產(chǎn)品中的漏洞方面大有幫助，重點(diǎn)在于遠(yuǎn)程代碼執(zhí)行，權(quán)限提升和固有的設(shè)計(jì)缺陷。

由于Windows是封閉源代碼，因此用戶針對(duì)Windows Bug賞金計(jì)劃中發(fā)現(xiàn)的問題提交修補(bǔ)程序的能力受到限制(可能會(huì)帶來(lái)固有的安全性問題)，但是僅提供bug報(bào)告本身將大大改善Microsoft的安全性，從而使Microsoft受益 。他們的產(chǎn)品，因?yàn)橐坏┩ㄖ獑栴}存在，Microsoft便可以利用這些報(bào)告自行調(diào)查和修補(bǔ)問題。

微軟還正在重塑他們的Hyper-V賞金計(jì)劃，以大幅提高其最高賠付額，以便更好地與黑市上這些漏洞的價(jià)格進(jìn)行競(jìng)爭(zhēng)，并更適當(dāng)?shù)匮a(bǔ)償開發(fā)人員發(fā)現(xiàn)問題的費(fèi)用。新程序?qū)榫哂羞h(yuǎn)程代碼執(zhí)行功能的Hyper-V漏洞利用程序支付最高25萬(wàn)美元的費(fèi)用， 對(duì)于Windows 10漏洞利用程序，則將獲得最高200,000美元的費(fèi)用，這是“漏洞利用技術(shù)的新穎和基本進(jìn)步，普遍繞開了當(dāng)前的緩解措施”。

除了讓第一人發(fā)現(xiàn)這些錯(cuò)誤之外，微軟還向第一人支付相應(yīng)獎(jiǎng)勵(lì)的10%，以報(bào)告在內(nèi)部發(fā)現(xiàn)但尚未發(fā)布的任何錯(cuò)誤。雖然與全額付款并不完全相同，但在微軟已經(jīng)發(fā)現(xiàn)漏洞后報(bào)告該漏洞會(huì)得到部分付款，這將有助于鼓勵(lì)人們報(bào)告漏洞，因?yàn)樗鼘⒕徑馔ǔ１桓嬷撳e(cuò)誤的一些失望。您已報(bào)告已被發(fā)現(xiàn)。

通過擴(kuò)大漏洞賞金范圍的這一舉動(dòng)，微軟加入了一大批在過去一年中對(duì)其漏洞賞金系統(tǒng)進(jìn)行了改造的公司，包括Google，蘋果，高通，空軍等。

擴(kuò)大錯(cuò)誤賞金計(jì)劃的公司名單之長(zhǎng)而且不斷增長(zhǎng)并非偶然。為舉報(bào)錯(cuò)誤的人提供獎(jiǎng)勵(lì)，在鼓勵(lì)人們向公司舉報(bào)錯(cuò)誤方面大有幫助，以便可以將其修正，而不是試圖在黑市上出售。它為白帽黑客提供了一條合法的途徑，使他們可以通過分析您的軟件來(lái)賺錢，幫助他們吸引到您的生態(tài)系統(tǒng)并維護(hù)他們的興趣。雖然很難與某些特殊漏洞可以在黑市上競(jìng)走的價(jià)格競(jìng)爭(zhēng)，但許多黑客寧愿處理合法的漏洞報(bào)告方法，而您可以找到并修復(fù)的每個(gè)漏洞都有助于防止這些漏洞被用于可能危害用戶的不良做法。

盡管漏洞賞金計(jì)劃已經(jīng)存在了很長(zhǎng)時(shí)間并且一直證明了它們的價(jià)值，但是由于最近發(fā)現(xiàn)了某些廣泛的安全漏洞，包括泄露的情報(bào)局的保險(xiǎn)柜，最近人們一直在重新關(guān)注它們。7，其中包含針對(duì)Microsoft Edge，Google Chrome，Mozilla Firefox，Opera，iOS，Android，macOS，Linux和Microsoft Windows以及其他目標(biāo)的安全漏洞。特別是微軟去年受到安全漏洞的嚴(yán)重影響，當(dāng)時(shí)有消息顯示，2012年對(duì)LinkedIn的黑客入侵(微軟去年購(gòu)買了該黑客)比最初估計(jì)的范圍要廣泛得多。

如果您希望報(bào)告Microsoft錯(cuò)誤賞金計(jì)劃的安全錯(cuò)誤，可以按照其 協(xié)調(diào)的漏洞披露 (CVD)策略，通過secure@microsoft.com 向他們發(fā)送電子郵件 。如果您對(duì)程序本身有任何疑問，可以在https://aka.ms/BugBounty上找到有關(guān)Microsoft錯(cuò)誤賞金計(jì)劃的最新信息 。Windows賞金計(jì)劃有望無(wú)限期地繼續(xù)下去，盡管隨著時(shí)間的推移，它可能會(huì)進(jìn)行調(diào)整，以適應(yīng)不斷變化的安全形勢(shì)。