圖片來源: 

微軟

微軟宣布抓漏獎勵專案(Microsoft Bounty Program)將與HackerOne平台合作以加速抓漏獎金的發送,同時提高獎金及抓漏範圍,還變更了重覆提交漏洞的獎勵政策,舉凡是第一個提交的安全人員,都能獲得全額的獎金,不管微軟內部是否已經抓到該漏洞。

微軟在2018年總計發出了超過200萬美元的抓漏獎金,從今年1月起,微軟即開始加速獎金的發放流程,在Cloud、Windows及Azure DevOps抓漏專案中,只要微軟完成漏洞的評估或重製即會發送獎金,而不必再等到修補完成。

此外,未來微軟將與HackerOne平台合作以加速獎金支付程序,因此可提供更多的支付選項,涵蓋PayPal、加密貨幣、或多達30種法定貨幣的轉帳,也能拆分獎金並把它們捐給不同的慈善機構。

目前微軟與HackerOne的合作只限於抓漏獎金的發放,漏洞報告仍然是由微軟安全回應中心(Microsoft Security Response Center)負責。

今年微軟也將把Windows Insider Preview抓漏專案的最高獎金從1.5萬美元提高到5萬美元,將Microsoft Cloud抓漏專案的獎金從1.5萬美元提高到2萬美元,也將擴大Cloud專案與其它專案的抓漏範圍。

另一方面,過去當安全研究人員所舉報的漏洞是內部已知漏洞時,微軟僅會象徵性地提供10%的漏洞獎金,但微軟現在認為,光是得知外部研究人員所具備的發現能力就是有價值的,因此決定變更該政策,只要是第一個回報符合資格之漏洞的研究人員,就算是微軟內部已知的漏洞,也能獲得全額獎金。


Advertisement

更多 iThome相關內容