微软宣布抓漏奖励项目(Microsoft Bounty Program)将与HackerOne平台合作以加速抓漏奖金的发送,同时提高奖金及抓漏范围,还变更了重复提交漏洞的奖励政策,举凡是第一个提交的安全人员,都能获得全额的奖金,不管微软内部是否已经抓到该漏洞。
微软在2018年总计发出了超过200万美元的抓漏奖金,从今年1月起,微软即开始加速奖金的发放流程,在Cloud、Windows及Azure DevOps抓漏项目中,只要微软完成漏洞的评估或重制即会发送奖金,而不必再等到修补完成。
文章转自:朕亨爱心公益
此外,未来微软将与HackerOne平台合作以加速奖金支付程序,因此可提供更多的支付选项,涵盖PayPal、加密货币、或多达30种法定货币的转账,也能拆分奖金并把它们捐给不同的慈善机构。
目前微软与HackerOne的合作只限于抓漏奖金的发放,漏洞报告仍然是由微软安全响应中心(Microsoft Security Response Center)负责。
今年微软也将把Windows Insider Preview抓漏项目的最高奖金从1.5万美元提高到5万美元,将Microsoft Cloud抓漏专案的奖金从1.5万美元提高到2万美元,也将扩大Cloud项目与其它项目的抓漏范围。
另一方面,过去当安全研究人员所举报的漏洞是内部已知漏洞时,微软仅会象征性地提供10%的漏洞奖金,但微软现在认为,光是得知外部研究人员所具备的发现能力就是有价值的,因此决定变更该政策,只要是第一个回报符合资格之漏洞的研究人员,就算是微软内部已知的漏洞,也能获得全额奖金
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
