金融街 科技 正文

微软出 1,370 万美元,奖励发现漏洞,是去年同期的三倍价格

2020-08-06 14:49   来源: 互联网

据国外媒体报道,自冠状病毒爆发以来,"家庭订单"在漏洞中激起了极大的热情,微软漏洞奖励计划支付的金额在过去一段时间里激增。


微软周二表示,在截至2020年6月30日的12个月里,它花费了1370万美元来奖励产品漏洞,是去年同期440万美元的两倍多。微软直截了当地说,对疫情封锁的限制在这里发挥了极其重要的作用。由于麻烦制造者被迫呆在家里,面临失去工作的风险,他们开始一遍又一遍地审查微软的代码。在疫情爆发的头几个月里,研究人员的参与明显增加,漏洞报告的数量也有所增加。


此外,漏洞的爆炸性增长也与微软增加报告编程错误有关。根据微软漏洞奖励计划负责人杰克·斯坦利(Jack Stanley)的说法,该公司在2020年增加了6个新奖项和两个新的研究资助项目,吸引了来自六大洲1000多名研究人员的1000多份合格报告。

微软花费1370万美元奖励漏洞发现者 是去年同期的三倍

淘金热可能在一定程度上解释了为什么微软每月发布的安全补丁解决了CVE列出的100多个漏洞。然而,业内一些人指出,奖励计划可能不是长期健康和安全的优先指标。LutaSecurity首席执行官、前微软漏洞奖励程序设计师凯蒂·穆苏利斯(KatieMoussouris)担心,公司会误入歧途,过度强调外部漏洞奖励,忽视投资人力和资源以减少漏洞。


穆苏里斯表示,在未来某个时候,越来越多的工程师可能会变成麻烦制造者,只是等待应用程序或系统软件发布,以换取最多6位数的漏洞。更糟糕的是,其他公司将效仿微软(Microsoft)。问题是,如果回报远远高于程序员的内部漏洞检测薪酬,企业可能会跳过重要的内部安全投资,以及不可避免地转移人才。


穆苏里斯总结道:"微软肯定会对内部安全进行投资,但像苹果一样,将某些漏洞奖金设定在250000美元甚至超过100万美元的趋势,可能会吸引内部安全人员离开,并加大吸引新人才的难度。"在考虑奖励漏洞之前,企业应该评估其内部防范、检测和修复安全漏洞的能力。内部投资、聘用更熟练的安全人员、使用更好的工具,以及授权一个安全的开发生命周期,可以事半功倍。




责任编辑:萤莹香草钟
分享到:
0
【慎重声明】凡本站未注明来源为"金融街"的所有作品,均转载、编译或摘编自其它媒体,转载、编译或摘编的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责。如因作品内容、版权和其他问题需要同本网联系的,请在30日内进行!