在2019年7月1日至2020年6月30日期间,微软已通过15个漏洞赏金计划向已报告漏洞的安全研究人员提供了1,370万美元的奖励。
根据Microsoft安全响应中心博客上发布的年度Microsoft Bug赏金计划回顾展,上一年440万美元的Microsoft Bug赏金奖励,今年是前一年获得的金额的三倍以上。
该公司表示:“通过通过协调漏洞披露(CVD)发现并向Microsoft报告漏洞,安全研究人员继续帮助我们确保了数百万客户的安全。”
“微软致力于继续增强我们的漏洞赏金计划,并加强我们与安全研究界的伙伴关系。”
过去12个月内启动的计划
仅在2020年,微软就启动了两个新的研究补助金和六个新的漏洞赏金计划,从六大洲的327位安全研究人员那里收到了1,226个合格的漏洞报告。
1月份,该公司启动了Xbox漏洞赏金计划,该计划针对通过清晰,简洁证明(POC)提交的高质量远程执行代码漏洞的报告,提供最高20,000美元的赏金。
正如雷德蒙德当时所说的那样,通过Xbox程序提交漏洞的研究人员还可以根据漏洞的影响和报告的质量来获得更高的奖励。
微软在过去12个月中推出了另外四个赏金计划,其中包括:
- Microsoft Dynamics 365赏金计划,于2019年7月启动
- Azure安全实验室,于2019年8月启动
- Microsoft Edge on Chromium Bounty计划,于2019年8月启动
- 选举卫士赏金计划,于2019年10月启动
该公司还更新了以下程序:
- 身份赏金计划,于2019年10月更新
- Windows Insider预览赏金计划,于2020年7月更新
并非所有安装都受影响
5月,微软发起了“Azure Sphere安全研究挑战赛”,这是一项针对IoT的研究计划,对于Azure Sphere IoT安全解决方案中发现的安全漏洞,将提供高达100,000美元的赏金。
除了Azure Sphere安全研究挑战赛,该公司自2019年7月1日以来还添加了以下其他新研究计划:
- 最有价值的研究人员认可计划,2019年7月更新
- 安全研究员季度排行榜,自2019年8月开始
- 身份研究补助金,于2020年1月启动
- 与Microsoft Research合作推出的Microsoft Security AI RFP,2020年3月
- 与CUJO AI,VMRay和MRG Effitas合作发起的机器学习安全性逃避竞赛2020年6月
周一,微软还与GitHub,Google,IBM,JPMC,NCC Group,OWASP Foundation和Red Hat一起作为开源成员加入了开源安全基金会(OpenSSF)。
此举背后的目标是为开源开发人员提供最佳的安全工具和最佳实践建议,并将修复开源软件生态系统中的安全漏洞的时间从数月缩短至数分钟。