聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
微软根据漏洞严重程度、影响和漏洞报告质量确定具体奖金数额。如研究员提交的是高质量的严重等级的远程代码执行漏洞,则可获得最高奖金。
目前,微软Defender 漏洞奖励计划的范围和关注点只是 Microsoft for Endpoint APIs。不过,未来该奖励计划有望扩展到其它 Defender 产品先。微软安全响应中心 (MSRC) 的高级计划经理 Madeline Eckert 表示,“微软 Defender 漏洞奖励计划邀请全球研究人员从 Defender 产品中找出漏洞并与我们的团队共享。微软漏洞奖励计划是我们与全球安全研究社区一道保护微软客户的很多种方法之一。”
该漏洞奖励计划覆盖的全部漏洞清单如下:
XSS
CSRF
SSRF
跨租户数据篡改或访问
不安全的直接对象引用
不安全的反序列化
注入漏洞
服务器端代码执行
严重的安全配置不当(不由用户引起)
使用含有可利用的已知漏洞的组件(要求完整的PoC。如只是找到过时库中的漏洞则无法获得奖金)。
微软在漏洞奖励计划指南中提到,如果多个研究人员提交的漏洞报告针对的是同一个漏洞,则奖金仅发给第一个提交人。另外,如果一份漏洞报告适用于多个漏洞奖励计划,则研究员则获得其中最高的奖金。
另外,微软还披露称,迄今为止已通过22个漏洞奖励计划向发现了446个有效漏洞的1147名安全研究员发放了5890万美元的奖金。一个月前,微软发布了基于受AI驱动的 Bing 体验的AI 漏洞奖励计划,最高奖金为1.5万美元。去年,微软将本地 Exchange、SharePoint和企业版 Skype 纳入漏洞奖励计划中,并通过 Microsoft 365 计划增加了高影响力漏洞的最高奖金额。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
如有侵权请联系:admin#unsafe.sh