据科技博客VentureBeat北京时间7月27日报道,微软公司在周三宣布推出新的Windows漏洞奖励计划,奖金金额最低500美元,最高25万美元。
微软服务器虚拟化解决方案Hyper-V
需要说明的是,微软已经推出了许多漏洞奖励计划,这也不是微软第一次针对Windows功能推出漏洞奖励计划。从2012年开始,微软就推出了许多针对Windows的奖励计划。
不过,微软此次推出的Windows奖励计划包含了Windows 10,甚至是测试项目Windows Insider预览版。而且,它还有重点针对的领域,包括服务器虚拟化解决方案Hyper-V、漏洞缓解绕过(Mitigation Bypass)、杀毒软件Windows Defender以及Edge浏览器。
微软规定,如果研究人员发现任何侵犯用户隐私和安全的严重或重要远程代码执行、特权提升或设计缺陷,微软都会给予奖励;奖金额度介于500美元至25万美元之间;如果研究人员发现的符合条件的漏洞已经被微软内部发现,那么第一个发现漏洞的研究人员将会获得最高奖励的10%。
研究人员要想获得最高25万美元的奖励,就必须找到Hyper-V的相关漏洞,但是可以从多个系统中寻找,包括Windows 10、Windows Server 2012、Windows Server 2012 R2、Windows Server内部预览版。漏洞缓解绕过的最高奖励为20万美元,但只能从Windows 10中找。
另外,Windows Defender漏洞的最高奖励为3万美元。Edge浏览器和Windows Insider预览版漏洞的最高奖励为1.5万美元。这三个项目都需要使用Windows Insider“慢速通道”(Slow Ring)。
谷歌公司、Facebook公司以及微软已经推出了多个漏洞奖励计划,但是越来越多的小型公司至少也会推出一个漏洞奖励计划:为了避免遭遇下一个安全灾难,这些付出是值得的。在漏洞成为问题前,企业最好找到并修复它,尤其是涉及到安全时。如果出现严重安全问题,企业将付出惨重代价。和它相比,向发现漏洞的安全研究人员提供的奖金微不足道。 
