Microsoft的Bug赏金计划已更新,可以更快地支付有效漏洞。HackerOne黑客社区已加入成为合作伙伴,以加快检查速度并处理支出。
微软赏金计划(Microsoft Bounty Program)去年向发现安全威胁的人们支付了超过200万美元,但是这一新举措将在未来更快地决定支出。
Cloud,Windows和Azure Devops计划已经在进行更快的审查,现在这些奖励是在完成复制和评估每个提交后授予的,而不是等到确定最终解决方案之后再颁发。
最新的举动是作为合作伙伴加入的,HackerOne同时托管了GitHub和Intel的bug赏金计划,以及数百个其他赏金计划,作为合作伙伴,这意味着HackerOne将处理赏金支付处理。付款方式也将有更多选择,包括贝宝(PayPal),加密货币或以30多种货币进行的直接银行转帐。HackerOne还支持奖励分配和慈善捐款。
HackerOne成员还将发现,通过HackerOne平台处理的Microsoft赏金奖励将为其整体HackerOne声誉评分做出贡献。
Microsoft渴望强调指出,漏洞报告仍应直接发送到Microsoft安全响应中心,而不是发送到HackerOne。
除了合作关系的消息,微软重申,它正在增加该计划的奖项和范围。Windows Insider Preview赏金的金额实际上在一月份从$ 15,000提高到了$ 50K,Microsoft Cloud Bounty计划(包括Azure,O365和其他在线服务)的金额从$ 15,000增加到了$ 20,000。这些奖项仍然低于微软最高的付款。Microsoft缓解旁路赏金和国防奖励计划为缓解旁路提供高达$ 100,000的支出。
还有一项针对重复项的新政策。到目前为止,有关内部已经知道的漏洞的外部报告只获得了合格赏金的10%,因为该报告没有帮助Microsoft确定新的内容。但是,基于:
“了解外部研究人员的能力是宝贵的见解,我们希望在可能的情况下奖励研究人员的贡献”
Microsoft已更改了对这些所谓的重复提交的政策。第一个报告赏金合格漏洞的研究人员将获得全部合格的赏金奖励,即使它是内部已知的。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。