微軟宣布了一項新的漏洞獎勵計劃。對于信息安全研究人員發(fā)現(xiàn)的Windows 8.1或IE 11的漏洞，每個漏洞微軟有可能給予最高15萬美元的獎勵。

去年，微軟曾在Bluehat大賽中推出了漏洞獎勵措施。不過，Bluehat大賽并非關(guān)注尋找漏洞，而是尋找最有價值、最具創(chuàng)新性的解決方式。去年夏季，在拉斯維加斯的Black Hat信息安全大會上，微軟發(fā)放了20萬美元的高額獎金。

在最新的獎勵計劃中，微軟的獎勵分為3種。如果研究人員找到針對Windows 8.1保護(hù)機(jī)制的新漏洞，那么可以獲得最高10萬美元的“減輕繞開獎金”。而如果研究人員能針對已確認(rèn)的攻擊技術(shù)提供有效的防御措施，那么還可以獲得5萬美元額外的“Bluehat防御獎金”。因此針對單個漏洞的獎金總額最高達(dá)到15萬美元。

此外，微軟還提供了“IE11瀏覽器預(yù)覽版漏洞獎金”。對于研究人員發(fā)現(xiàn)的Windows 8.1中IE11的關(guān)鍵漏洞，微軟將支付每個漏洞1.1萬美元的獎金。

微軟新的漏洞獎勵計劃將于6月26日開始。屆時微軟也將發(fā)布帶IE11的Windows 8.1預(yù)覽版?！皽p輕繞開獎金”和“Bluehat防御獎金”將長期提供，而“IE11預(yù)覽版漏洞獎金”將只持續(xù)30天。

微軟高級安全策略師凱蒂·莫蘇里斯(Katie Moussoris)在博客中宣布了這一漏洞獎勵計劃的啟動。他表示，微軟此前已進(jìn)行了大量工作，解決相關(guān)軟件中的漏洞。目前微軟將與信息安全研究人員甚至黑客合作，在漏洞帶來惡意攻擊事件之前找到并解決這些漏洞。

Veracode聯(lián)合創(chuàng)始人及首席技術(shù)官克里斯·維索佩爾(Chris Vysopal)表示，漏洞獎勵計劃的最大好處在于鼓勵信息安全研究社區(qū)與微軟合作，而不是對抗。此前，許多信息安全研究人員認(rèn)為，他們完成了本應(yīng)由軟件公司完成了大量勞動，但卻沒有得到任何報酬。而類似微軟此次開展的漏洞獎勵計劃將帶來必要的激勵，促使信息安全研究人員在找到漏洞后首先上報，并在漏洞解決前對其保密。

業(yè)內(nèi)人士認(rèn)為，這一漏洞獎勵計劃將有助于改進(jìn)微軟的所有產(chǎn)品。近年來，微軟采取了大量工作，以加強(qiáng)漏洞減輕技術(shù)，不過仍有很大的提升空間。