不要指望微軟會給那些披露其公司產品漏洞的安全人員發(fā)放什么獎金。

微軟可信計算部的總監(jiān)Dave Forstrom在接受SearchSecurity.com的采訪時表示，由谷歌和Mozilla建立的軟件錯誤回購計劃（bug buyback programs）和微軟針對漏洞研究的策略是相違背的。Forstrom還表示，這種計劃未能使得漏洞的處理過程透明化，最終對微軟的用戶也起不到什么幫助。

一般而言，谷歌會對那些發(fā)現(xiàn)Chrome瀏覽器漏洞的研究人員支付最多3133美元的費用。Mozilla的這一數(shù)字則為3000美元，不過針對的是Firefox瀏覽器的漏洞。

Forstom說：“我們認為，為每個漏洞支付一定的獎金并不能滿足微軟用戶的最大利益，還有多種其他的途徑可以讓我們同安全研究人員開展合作，從而更好的服務于安全社區(qū)。比如說，微軟可以通過承認研究人員的共同努力、贊助各種安全會議，從而使得安全社區(qū)不斷向前發(fā)展。”

上周，微軟宣布將改變自己現(xiàn)有的策略，立即在安全業(yè)界掀起了波瀾，這也是這家軟件巨頭希望見到的事情。微軟把“負責任”這一字眼從自己的漏洞披露策略中拿掉了，并把自己的軟件缺陷報告計劃（flaw-reporting program）更名為“協(xié)作的漏洞披露（coordinated vulnerability disclosure）”，這勢必會改變人們關于漏洞披露的爭論。

這項聲明得到了來自安全社區(qū)各種各樣的反應。一些人認為去掉“負責任”這一詞匯將改變安全研究人員和軟件商之間長期對峙的局面，但對安全人員報告軟件漏洞的方式并沒有多大變化。

Forstrom目前正在參加本周舉辦的2010年度黑帽大會。他表示，漏洞披露是一個正在進行的話題，并不是只有微軟一家公司在進行爭論。Forstrom說，“之所以要進行協(xié)作配合，其目的為了最大限度的滿足用戶的利益，并降低風險，不使之擴大?！?/p>

Adobe和微軟在積極防御計劃上開展合作

微軟在2010年度黑帽大會上還發(fā)表了一項新的合作計劃聲明，微軟相信這勢必會加強自己的積極防御計劃（Active Protections Program，MAPP）。

Adobe系統(tǒng)公司已在MAPP計劃的框架內同微軟展開合作，以便在微軟發(fā)布漏洞補丁之前，提前得到詳細的漏洞技術資料。目前，已有65家安全廠商加入了該計劃，這使得他們可以為自己的用戶開發(fā)數(shù)字簽名，并對漏洞攻擊代碼（exploit）進行檢測。

Adobe公司負責產品安全和隱私的高級總監(jiān)Brad Arkin表示，MAPP計劃就像是專為Adobe而設計的一樣，它能增加公司的透明度并減少攻擊窗口期（attack window，即從漏洞發(fā)布到Adobe發(fā)布官方補丁之間的時間）。

Arkin說，“我們可以從安全廠商那里源源不斷的獲得反饋，微軟的積極防御計劃無疑是軟件廠商之間得以分享信息的絕對標準（gold standard）?！?/p>

Arkin表示，Adobe公司在成為MAPP計劃的會員之后，將會提供自己產品的安全信息，并將其稱之為“多一層防御（one more layer of defense）”。這些數(shù)據(jù)將會按微軟提供的模板進行格式化，所有在今秋成為MAPP會員的廠商都可以獲得這些信息。

如果想加入MAPP計劃，廠商必須能對至少1萬名用戶提供安全防御技術，如反病毒、入侵檢測系統(tǒng)和入侵防御系統(tǒng)等技術。

最新減災工具包（mitigation toolkit）

微軟正在發(fā)行一款全新的工具，名叫“增強的減災體驗工具包（Enhanced Mitigation Experience Toolkit）”，其目的是幫助IT專業(yè)人員對現(xiàn)有的應用程序使用安全減災技術。該工具可以免費獲取，在八月份就可供下載。

微軟的Forstrom表示，對仍在運行微軟老版本軟件的公司而言，這款自動工具將尤其有用。比如，使用IE6的Windows XP用戶在默認情況下會運行數(shù)據(jù)執(zhí)行保護（DEP），但是堆噴射內存分配技術（heap spray allocation，免遭攻擊的內存減災技術）卻需要手動進行。不過，使用這一全新的自動工具之后，IT專業(yè)人員就可以更加容易的對現(xiàn)有應用程序進行安全減災。

Forstrom說：“IT專業(yè)人員無需再次進行編碼和編譯，只需擁有基礎設施就可以在進程中運行該工具?！? 

【編輯推薦】

1. 微軟將漏洞披露方式由負責調整為協(xié)調
2. 微軟警告：Windows XP的零日漏洞攻擊增加