在2019年7月1日至2020年6月30日期间,微软向报告漏洞的安全研究人员提供了1370万美元的奖励.根据Microsoft安全响应中心博客上发布的年度MicrosoftBug赏金计划回顾,去年440万美元的MicrosoftBug赏金奖励是今年的三倍多。该公司表示:“安全研究人员通过协调漏洞披露(CVD)发现漏洞并向Microsoft报告漏洞,从而继续帮助我们保护数百万客户的安全。”“微软致力于继续加强我们的漏洞赏金计划,并加强我们与安全研究社区的合作伙伴关系。”过去12个月启动的计划仅2020年一年,微软就启动了两项新的研究资助和六个新的漏洞赏金计划,从安全研究人员那里收到了327份1,226份合格的漏洞报告。1月,该公司启动了XboxBug赏金计划,为通过清晰、简明的证明(POC)提交的高质量远程代码执行漏洞报告提供高达20,000美元的赏金。正如雷德蒙德当时所说,通过Xbox程序提交错误的研究人员还可以根据错误的影响和报告的质量获得更高的奖励。微软在过去12个月内推出了四个额外的赏金计划,包括:MicrosoftDynamics365赏金计划、2019年7月启动的Azure安全实验室、2019年8月启动的MicrosoftEdgeonChromium赏金计划、2019年8月启动的ElectionGuard赏金计划、启动2019年10月,公司还更新了以下计划:IdentityBountyProgram,2019年10月更新WindowsInsiderPreview赏金计划,2020年7月更新并非所有安装都受到影响重点研究计划为AzureSphereIoT安全解决方案中发现的安全漏洞提供高达100,000美元的奖励。赏金。除了AzureSphere安全研究挑战赛之外,自2019年7月1日起,该公司还增加了以下其他新研究计划:最有价值研究人员表彰计划,更新于2019年7月安全研究人员季度排行榜,自2019年8月开始身份研究资助,微软SecurityAIRFP于2020年1月与MicrosoftResearch合作推出,机器学习安全规避竞赛于2020年3月与CUJOAI、VMRay和MRGEffitas合作2020年6月周一,微软还加入了开源安全基金会(OpenSSF)作为开源成员,以及GitHub、Google、IBM、JPMC、NCCGroup、OWASPFoundation和RedHat。此举背后的目标是为开源开发者提供最好的安全工具和最佳实践建议,并将修复开源软件生态系统中的安全漏洞的时间从几个月缩短到几分钟。
