Microsoft推出$ 100K Bug Bounty望海彩票手机app下载 Program

多年来,受益于其他公司的bug赏金计划,微软最终通过提供三个新程序来鼓励和补偿那些发现公司漏洞的研究人员,从而进入臭虫赏金业务本身#s27; s这些计划包括在其软件产品中发现的10万美元的缓解绕过漏洞的支出,以及用于修复漏洞的解决方案的50,000美元支付,以及11,000美元的任何漏洞。即将发布的即将发布的Internet Explorer 11浏览器软件。

“我们认为这并不是一个万能的赏金计划,所以我们'重新宣布三个赏金计划, "微软安全响应中心主任Mike Reavey说。

“如果你找到一种方法绕过我们的盾牌,但你也知道如何堵塞这个洞,我们&#x27 ;再投入50,000美元,“他说,指的是第二个项目,它超越了传统的赏金计划通常所做的步骤。

微软'此举是因为多年来因为他们所做的艰苦工作而没有补偿研究人员而受到批评发现和披露错误,即使公司从发现和披露其软件中的安全漏洞的人所做的免费工作中受益匪浅。

2009年,查理曾经为Twitter工作的曾经独立的安全研究员米勒与其他安全研究人员Alex Sotirov和Dino Dai Zovi一起发起了“没有更多的免费漏洞”活动,以抗议不愿意为这项有价值的服务付费的微软等微软供应商提供了漏洞猎人,并提请注意这样一个事实,即研究人员经常因为试图做好事而受到供应商的惩罚。

去年,微软安全负责人迈克雷维为该公司辩护,并且缺乏一个bug赏金计划,说该公司的BlueHat安全计划,为安全专业人员支付50,000美元和250,000美元,可以为特定类型的攻击设计防御措施,比支付错误更好。

“我不认为提交和奖励积分问题是保护客户的长期策略,”他当时告诉记者。

Reavey说公司决定推出赏金计划的原因是因为白市市场的赏金计划 - 例如由HP-Tipping Point'零日活动赞助的一个 - 它们之间存在差距,并且不会因为影响微软的缓解 - 绕过漏洞等最难以解决的问题而产生漏洞。内置的安全功能。

“这些缓解旁路是许多成功攻击的关键,” Reavey说,“我们只通过[年度虫子]比赛了解这些。 [但]我们不想等待比赛。我们希望尽快获得这些,越早越好。“

缓解绕过漏洞是允许攻击者绕过浏览器制造商在其软件中放置的安全功能(如沙箱)的漏洞挫败黑客。

“任何引人注目的攻击都必须要有一个缓解措施,因为这是我们多年来一直投资的[以保护微软软件]”,雷维说。 “我们认为他们'是智能[赏金]计划,因为他们会尽快得到最关键的问题。”

第三个赏金计划,包括寻找IE 11预发布版中的漏洞旨在填补标准赏金计划的另一个空白,这些计划专注于在产品发布后查找产品中的漏洞。 Reavey表示,微软希望奖励那些在软件发布到市场之前以及在他们开始影响客户之前找到它们的研究人员。

上一篇:日本税收增加1997年重新运行 下一篇:没有了

本文URL:http://www.taobaocp.com/youxisheji/donghuasheji/201908/1295.html

Ctrl+D 将本页面保存为书签,全面了解最新资讯,方便快捷。