微软宣布漏洞挖掘奖励项目(Microsoft Bounty Program)将与HackerOne平台合作以加速漏洞挖掘奖金的发送,同时提高奖金及漏洞挖掘范围,还变更了重复提交漏洞的奖励政策,但凡是第一个提交的安全人员,都能获得全额的奖金,不管微软内部是否已经抓到该漏洞。
微软在2018年总计发出了超过200万美元的漏洞挖掘奖金,从今年1月起,微软即开始加速奖金的发布流程,在Cloud、Windows及Azure DevOps漏洞挖掘项目中,只要微软完成漏洞的评估或重现即会发送奖金,而不必再等到修补完成。
此外,未来微软将与HackerOne平台合作以加速奖金支付程序,因此可提供更多的支付选项,涵盖PayPal、加密货币、或多达30种法定货币的转帐,也能拆分奖金并把它们捐给不同的慈善机构。
目前微软与HackerOne的合作只限于漏洞挖掘奖金的发布,漏洞报告仍然是由微软安全回应中心(Microsoft Security Response Center)负责。
今年微软也将把Windows Insider Preview漏洞挖掘项目的最高奖金从1.5万美元提高到5万美元,将Microsoft Cloud漏洞挖掘项目的奖金从1.5万美元提高到2万美元,也将扩大Cloud项目与其它项目的漏洞挖掘范围。
另一方面,过去当安全研究人员所举报的漏洞是内部已知漏洞时,微软仅会象征性地提供10%的漏洞奖金,但微软现在认为,光是得知外部研究人员所具备的发现能力就是有价值的,因此决定变更该政策,只要是第一个回应符合资格之漏洞的研究人员,就算是微软内部已知的漏洞,也能获得全额奖金。