白帽黑客帮助微软保护数百万用户，微软 12 个月向黑客支付 1 亿奖金

文章来源：51cto

在 2019 年 7 月 1 日至 2020 年 6 月 30 日期间，微软已通过 15 个漏洞赏金计划向已报告漏洞的安全研究人员提供了 1,370 万美元的奖励。

根据 Microsoft 安全响应中心博客上发布的年度 Microsoft Bug 赏金计划回顾展，上一年 440 万美元的 Microsoft Bug 赏金奖励，今年是前一年获得的金额的三倍以上。

该公司表示：" 通过通过协调漏洞披露 ( CVD ) 发现并向 Microsoft 报告漏洞，安全研究人员继续帮助我们确保了数百万客户的安全。"

" 微软致力于继续增强我们的漏洞赏金计划，并加强我们与安全研究界的伙伴关系。"

过去 12 个月内启动的计划

仅在 2020 年，微软就启动了两个新的研究补助金和六个新的漏洞赏金计划，从六大洲的 327 位安全研究人员那里收到了 1,226 个合格的漏洞报告。

1 月份，该公司启动了 Xbox 漏洞赏金计划，该计划针对通过清晰，简洁证明 ( POC ) 提交的高质量远程执行代码漏洞的报告，提供最高 20,000 美元的赏金。

正如雷德蒙德当时所说的那样，通过 Xbox 程序提交漏洞的研究人员还可以根据漏洞的影响和报告的质量来获得更高的奖励。

1. Microsoft Dynamics 365 赏金计划，于 2019 年 7 月启动

2. Azure 安全实验室，于 2019 年 8 月启动

3. Microsoft Edge on Chromium Bounty 计划，于 2019 年 8 月启动

4. 选举卫士赏金计划，于 2019 年 10 月启动

1. 身份赏金计划，于 2019 年 10 月更新

2. Windows Insider 预览赏金计划，于 2020 年 7 月更新

并非所有安装都受影响

5 月，微软发起了 "Azure Sphere 安全研究挑战赛 "，这是一项针对 IoT 的研究计划，对于 Azure Sphere IoT 安全解决方案中发现的安全漏洞，将提供高达 100,000 美元的赏金。

除了 Azure Sphere 安全研究挑战赛，该公司自 2019 年 7 月 1 日以来还添加了以下其他新研究计划：

1. 最有价值的研究人员认可计划，2019 年 7 月更新

2. 安全研究员季度排行榜，自 2019 年 8 月开始

3. 身份研究补助金，于 2020 年 1 月启动

4. 与 Microsoft Research 合作推出的 Microsoft Security AI RFP，2020 年 3 月

5. 与 CUJO AI，VMRay 和 MRG Effitas 合作发起的机器学习安全性逃避竞赛 2020 年 6 月

周一，微软还与 GitHub，Google，IBM，JPMC，NCC Group，OWASP Foundation 和 Red Hat 一起作为开源成员加入了开源安全基金会 ( OpenSSF ) 。

此举背后的目标是为开源开发人员提供最佳的安全工具和最佳实践建议，并将修复开源软件生态系统中的安全漏洞的时间从数月缩短至数分钟。

推荐阅读

*通过“鱼叉式网络钓鱼攻击”，黑客掌握了名人明星推特账户控制权

*潜伏十年“黑客雇佣军团”曝光 ，盯上欧洲律师事务所

*工信部 2020年第三批 | 关于侵害用户权益行为的APP通报