微軟與Facebook最近公布了一套全新漏洞賞金計(jì)劃，旨在通過獎(jiǎng)勵(lì)機(jī)制促進(jìn)安全研究人員查找并報(bào)告那些可能影響廣大互聯(lián)網(wǎng)用戶的常用軟件安全缺陷。

該計(jì)劃將由專門項(xiàng)小組負(fù)責(zé)管理，小組研究人員來自Facebook、谷歌、微軟以及其它幾家多年來一直幫助管理或參與其它安全賞金計(jì)劃的企業(yè)。

“我們積累的經(jīng)驗(yàn)促使自己不同改善安全漏洞的披露機(jī)制，從而讓每一位用戶享受到更理想的互聯(lián)網(wǎng)環(huán)境，”這些研究人員在接受hackerone.com采訪時(shí)表示——這是一家專門管理新漏洞賞金計(jì)劃并負(fù)責(zé)聯(lián)系安全研究人員與響應(yīng)團(tuán)隊(duì)共同解決漏洞報(bào)告的網(wǎng)站。

新方案的獎(jiǎng)勵(lì)范圍包括Python、Ruby、PHP以及Perl解釋器;Django、Ruby on Rails以及Phabricator開發(fā)工具與框架;Apache與Nginx Web服務(wù)器外加谷歌Chrome、IE 10、Adobe Reader與Flash Player的應(yīng)用程序沙箱機(jī)制。

如果所發(fā)現(xiàn)的安全問題涉及一家或多家市場主流供應(yīng)商軟件方案——根據(jù)項(xiàng)目管理方的說明，其中包括互聯(lián)網(wǎng)協(xié)議中的安全漏洞，相關(guān)人員也能夠獲得獎(jiǎng)勵(lì)。下面我們一起回顧過去曾經(jīng)出現(xiàn)過的此類實(shí)例，包括2008年針對(duì)MD5散列功能以生成偽造CA證書的沖突攻擊、針對(duì)SSL的BEAST攻擊以及由Dan Kaminsky于2008年報(bào)告的DNS緩存投毒漏洞等。

賞金的具體數(shù)額取決于所報(bào)告問題的嚴(yán)重程度以及所影響的軟件對(duì)象。舉例來說，發(fā)現(xiàn)Phabricator中的安全漏洞可以得到最低300美元、最高3000美元的獎(jiǎng)勵(lì);而發(fā)現(xiàn)應(yīng)用程序沙箱或者互聯(lián)網(wǎng)協(xié)議中的安全漏洞則至少能得到5000美元獎(jiǎng)勵(lì)——根據(jù)評(píng)測(cè)小組的判斷，這一數(shù)字還可以酌情增加。如果為某些軟件項(xiàng)目提供修復(fù)補(bǔ)丁，漏洞報(bào)告的賞金還會(huì)加倍。

這套新方案不僅針對(duì)安全研究人員，任何符合該項(xiàng)目信息披露理念與指導(dǎo)方針的安全問題發(fā)現(xiàn)者都能獲得獎(jiǎng)勵(lì)，其中包括學(xué)術(shù)研究人員、軟件工程師、系統(tǒng)管理員甚至是業(yè)余技術(shù)愛好者。

目前賞金由微軟及Facebook負(fù)責(zé)贊助，但HackerOne也鼓勵(lì)響應(yīng)小組在財(cái)政允許的情況下自行解決暴露出來的安全隱患。

上個(gè)月，谷歌公布了類似的項(xiàng)目，即為那些能夠?yàn)槭褂梅秶鷱V泛的開源應(yīng)用程序及軟件庫提高安全性的補(bǔ)丁買單，其中包括OpenSSL、OpenSSH、BIND、libjpeg、libpng等等。這就解釋了谷歌為什么沒有參與到HackerOne項(xiàng)目中來——不過谷歌Chrome安全團(tuán)隊(duì)的Chris Evans參與到HackerOne小組中來。

微軟此次加入方案贊助陣營可能意味著該公司在多年的反對(duì)之后，終于放下姿態(tài)開始接受這種針對(duì)個(gè)別安全漏洞提供獎(jiǎng)勵(lì)的機(jī)制。

微軟曾于今年六月針對(duì)自家產(chǎn)品推出過兩項(xiàng)賞金計(jì)劃，但二者的共同目標(biāo)在于研究如何推進(jìn)有價(jià)值的新型防御技術(shù)或者探索繞過現(xiàn)有防御機(jī)制的方法，而非針對(duì)個(gè)別安全漏洞。本周一，微軟公司對(duì)其中一項(xiàng)賞金計(jì)劃進(jìn)行擴(kuò)展，開始向針對(duì)主動(dòng)攻擊活動(dòng)提交技術(shù)報(bào)告的安全專家發(fā)放獎(jiǎng)金。

微軟今年六月還推出了另一項(xiàng)更為傳統(tǒng)的漏洞賞金計(jì)劃，旨在鼓勵(lì)研究人員探索IE 11預(yù)覽版本中的安全漏洞——但該計(jì)劃僅持續(xù)了三十天。