但是僅提供bug報告本身將大大改善Microsoft的安全性

微軟安全響應(yīng)中心團隊(MSRC)今天宣布，他們將啟動一個新的針對性Windows Bug Bounty程序(恰當?shù)胤Q為“ Windows Bounty Program”)，希望在漏洞到達黑市之前就將其捕獲。Windows Bug Bounty程序的添加是Microsoft全面努力的一部分，以提高其響應(yīng)速度和防御安全漏洞的能力。

這個新的Windows Bug Bounty程序?qū)⒃趲椭R別和修補Microsoft產(chǎn)品中的漏洞方面大有幫助，重點在于遠程代碼執(zhí)行，權(quán)限提升和固有的設(shè)計缺陷。

由于Windows是封閉源代碼，因此用戶針對Windows Bug賞金計劃中發(fā)現(xiàn)的問題提交修補程序的能力受到限制(可能會帶來固有的安全性問題)，但是僅提供bug報告本身將大大改善Microsoft的安全性，從而使Microsoft受益 。他們的產(chǎn)品，因為一旦通知問題存在，Microsoft便可以利用這些報告自行調(diào)查和修補問題。

微軟還正在重塑他們的Hyper-V賞金計劃，以大幅提高其最高賠付額，以便更好地與黑市上這些漏洞的價格進行競爭，并更適當?shù)匮a償開發(fā)人員發(fā)現(xiàn)問題的費用。新程序?qū)榫哂羞h程代碼執(zhí)行功能的Hyper-V漏洞利用程序支付最高25萬美元的費用， 對于Windows 10漏洞利用程序，則將獲得最高200,000美元的費用，這是“漏洞利用技術(shù)的新穎和基本進步，普遍繞開了當前的緩解措施”。

除了讓第一人發(fā)現(xiàn)這些錯誤之外，微軟還向第一人支付相應(yīng)獎勵的10%，以報告在內(nèi)部發(fā)現(xiàn)但尚未發(fā)布的任何錯誤。雖然與全額付款并不完全相同，但在微軟已經(jīng)發(fā)現(xiàn)漏洞后報告該漏洞會得到部分付款，這將有助于鼓勵人們報告漏洞，因為它將緩解通常被告知該錯誤的一些失望。您已報告已被發(fā)現(xiàn)。

通過擴大漏洞賞金范圍的這一舉動，微軟加入了一大批在過去一年中對其漏洞賞金系統(tǒng)進行了改造的公司，包括Google，蘋果，高通，空軍等。

擴大錯誤賞金計劃的公司名單之長而且不斷增長并非偶然。為舉報錯誤的人提供獎勵，在鼓勵人們向公司舉報錯誤方面大有幫助，以便可以將其修正，而不是試圖在黑市上出售。它為白帽黑客提供了一條合法的途徑，使他們可以通過分析您的軟件來賺錢，幫助他們吸引到您的生態(tài)系統(tǒng)并維護他們的興趣。雖然很難與某些特殊漏洞可以在黑市上競走的價格競爭，但許多黑客寧愿處理合法的漏洞報告方法，而您可以找到并修復(fù)的每個漏洞都有助于防止這些漏洞被用于可能危害用戶的不良做法。

盡管漏洞賞金計劃已經(jīng)存在了很長時間并且一直證明了它們的價值，但是由于最近發(fā)現(xiàn)了某些廣泛的安全漏洞，包括泄露的情報局的保險柜，最近人們一直在重新關(guān)注它們。7，其中包含針對Microsoft Edge，Google Chrome，Mozilla Firefox，Opera，iOS，Android，macOS，Linux和Microsoft Windows以及其他目標的安全漏洞。特別是微軟去年受到安全漏洞的嚴重影響，當時有消息顯示，2012年對LinkedIn的黑客入侵(微軟去年購買了該黑客)比最初估計的范圍要廣泛得多。

如果您希望報告Microsoft錯誤賞金計劃的安全錯誤，可以按照其 協(xié)調(diào)的漏洞披露 (CVD)策略，通過secure@microsoft.com 向他們發(fā)送電子郵件 。如果您對程序本身有任何疑問，可以在https://aka.ms/BugBounty上找到有關(guān)Microsoft錯誤賞金計劃的最新信息 。Windows賞金計劃有望無限期地繼續(xù)下去，盡管隨著時間的推移，它可能會進行調(diào)整，以適應(yīng)不斷變化的安全形勢。