前情回顾·科技巨头的安全战略
安全内参8月18日消息,微软官方宣布,在过去12个月中(2021.7-2022.6),他们通过漏洞奖励计划支付了1370万美元(约9299万元)奖金。
作为全球知名科技巨头,微软公司目前拥有17个漏洞奖励计划,广泛涵盖服务、桌面应用程序与操作系统、机密级虚拟化解决方案等资产,甚至还专门为ElectionGuard开源软件开发工具包(SDK)设置了相应项目。
如果能发现Hyper-V中的远程代码执行、信息泄露或拒绝服务(DoS)之类的严重漏洞,参与微软漏洞奖励计划的安全研究人员最高可以拿到25万美元的高额奖金。
事实上,微软在2021年7月1日到2022年6月30日期间,发出的最大单笔奖金达到20万美元,奖励的是Hyper-V虚拟机管理程序中的一个严重漏洞。
在这12个月中,共有超过330名安全研究人员通过微软漏洞奖励计划拿到了奖金,平均每个漏洞的奖金超过12000美元(约8.5万元)。
图:参与微软漏洞奖励计划的研究人员地理分布
微软公司表示,他们正根据研究人员的反馈改进现有漏洞奖励计划。今年,该公司还打算进一步引入新的研究挑战和高影响攻击场景。
新增及更新内容将包括Azure SSRF挑战赛,Edge奖励计划纳入Android与iOS平台版本,将本地Exchange、SharePoint及Skpye for Business纳入多个漏洞奖励计划,并为Azure、M365、Dynamics 365以及Power Platform等奖励计划添加高影响攻击场景。
微软公司总结道,“将这些攻击场景引入Azure、Dynamics 365、Power Platform以及M365奖励计划,将帮助我们把研究重点集中在影响最大的云漏洞上,具体涵盖Azure Synapse Analytics、Key Vault及Azure Kubernetes服务等领域。”
参考资料:https://www.securityweek.com/microsoft-paid-137-million-bug-bounty-programs-over-past-year
声明:本文来自安全内参,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
