微软花费1370万美元奖励漏洞发现者 是去年同期的三倍

本篇文章902字，读完约2分钟

凤凰网科技新闻北京时间8月5日电据国外媒体报道，自冠状病毒爆发以来，“家庭订单”已经激起了漏洞发现者的极大热情，而微软漏洞奖励计划支付的金额在过去一段时间内已经爆炸式增长。

微软周二表示，在截至2020年6月30日的12个月中，该公司已花费1370万美元奖励产品缺陷发现者，是去年同期440万美元的两倍多。微软直言不讳地表示，疫情封锁和限制措施在这里发挥了极其重要的作用。因为吹毛求疵者被迫呆在家里，同时面临失业风险，他开始反复审查微软的代码。在疫情爆发的前几个月，研究人员的参与显著增加，漏洞报告的数量持续增加。

此外，漏洞奖励的爆炸性增长也与微软增加了程序错误的报告渠道有关。据微软漏洞奖励项目负责人杰瑞克·斯坦利称，该公司在2020年增加了六个奖励项目和两个新的研究资助项目，吸引了来自六大洲300多名研究人员的1000多份合格报告。

这种漏洞淘金热可能在某种程度上解释了为什么微软每月发布一次的安全补丁可以解决cve列出的100多个漏洞。然而，一些内部人士指出，奖励计划可能不是一个健康的长期安全优先事项。露塔安全公司的首席执行官、微软漏洞奖励计划的前设计者凯蒂·穆苏里斯担心企业会误入歧途。过分强调外部脆弱性奖励而忽视投入人力和资源来降低脆弱性是公司的基础。

穆苏瑞斯说，在未来的某个时刻，越来越多的工程师可能会成为故障查找者，只是等待应用程序或系统软件的发布，并寻找漏洞以换取6位数的回报。更糟糕的是，其他公司会效仿微软。问题是，如果奖励金额远远高于内部漏洞检测程序员的工资，可能会出现企业跳过重要的内部安全投资、人才不可避免地被分流的趋势。

穆索利斯最后指出，“微软肯定会投资内部安全，但像苹果一样，将某些漏洞奖金定在25万美元甚至100万美元以上的趋势，可能会导致内部安全人员离职，增加吸引新人才的难度。”在考虑奖励漏洞之前，企业应评估其内部防范、发现和修复安全漏洞的能力。内部投资、雇佣更有技能的安全人员、使用更好的工具和授权一个安全的开发生命周期可以事半功倍。(编译/两笔)

更多第一手新闻，欢迎下载凤凰新闻客户端，订阅凤凰网技术。如果你想看深度报道，请在微信上搜索“凤凰科技”。

来源：搜狐微门户