填补漏洞市场空白——首次赏金通知

当微软决定推出不是一项而是三项全新赏金计划，直接向外部研究人员支付在我们最新产品上进行安全研究的报酬时，我们在制定这些赏金计划时进行了深入思考。我们开发了一套定制化计划，旨在通过关注研究人员在我们产品中发现漏洞后的行为关键数据，在安全研究社区和微软客户之间创造双赢局面。我们监测趋势，并决定以特定、审慎的方式进入漏洞和利用市场。

我想分享一些迄今为止计划的亮点。我还将扩展我们这些计划的战略目标（和非目标），因为它们与漏洞和利用市场相关。

迄今为止，情况非常好！数据支持我们的假设

安全社区对我们的新赏金计划反应热烈，在计划开放仅两周内就提交了十多份问题供我们调查。我今天亲自通过电子邮件通知了第一位赏金获得者，他在Internet Explorer 11预览版漏洞赏金计划中的提交已得到确认和验证。（翻译：他将获得报酬。）

我们还有其他研究人员也有资格获得IE11计划下的赏金，他们的通知将在本周及以后从secure[at]microsoft[dot]com发出。我们计划在我们的赏金网站上添加一个致谢页面，列出那些希望公开承认他们对帮助我们使产品更安全的贡献的研究人员，因此请关注该页面在不久的将来出现在www.microsoft.com/bountyprograms上的链接。

根据我们在新赏金计划仅两周内获得的数据，我们可以分享一些关键结果：

• 更多、更早的提交 - 我们在赏金计划的两周内收到的漏洞报告比通常一个月的平均数量还要多。这些数据表明，我们在发布周期早期获得更多漏洞报告的策略正在奏效。
• 吸引新研究人员 - 那些在我们赏金计划之前很少（如果有的话）直接向微软报告的研究人员现在选择直接与我们交谈。这些数据表明，我们吸引通常不会直接听到的安全研究人员的策略正在奏效。

注意差距——这不是关于成为最高出价者

影响许多供应商产品的漏洞和利用多年来一直在白市、灰市和黑市中交易。对我们来说，市场的区别在于购买的漏洞或利用的预期用途。一般来说，也存在价格差异，黑市通常支付显著更高的价格。

我们的目标不是直接与黑市（甚至灰市）竞争。相反，我们的目标是吸引那些目前愿意在白市出售的研究人员，并让他们更早地直接来找我们。

对我们来说，“白市”意味着买家通常购买信息用于防御用途。这类买家通常是受影响的供应商本身（通过赏金计划），或者是白市漏洞经纪人，他们使用这些信息用于他们的保护服务或威胁报告。

三年前，我们检查了关于那些喜欢修复漏洞的研究人员在发现微软产品中的漏洞时的行为数据。当时，他们中的大多数人仍然选择直接来找我们，尽管白市经纪人已经在提供现金。这种趋势在过去几年发生了变化：更多的漏洞被研究人员保留，等待各种市场开始支付，通常是在我们的代码发布给制造商（RTM）之后。

请注意，对于其他供应商的产品，数据可能非常不同。每个供应商都应该对自己的漏洞以及它们如何在各种现有市场中交易进行分析，以确定赏金计划是否适合他们的产品和客户。

以下图表显示了我们的新赏金计划正在填补的现有漏洞和利用市场中的差距。请注意，我们最深入的安全投资仍然在预发布阶段，安全开发生命周期（SDL）有助于在代码甚至预览发布之前减少或消除安全问题。（你不能通过渗透测试或赏金来实现安全，因此拥有强大的安全开发生命周期是任何供应商产品整体安全长期改进的关键。）

![漏洞市场差距分析图]

这不是关于提供最多的钱，而是在买家很少（如果有的话）的时候提供有吸引力的赏金。对于我们的产品，这往往是在预览（或测试）期间。

试图成为最高出价者是一步跳棋，而我们在下国际象棋。请继续关注即将发布的关于我们在行业合作领域采取的其他举措的更多公告，以帮助保护客户。与此同时，我们期待更多高质量的提交到我们的赏金计划，并将在进行中分享更多关于计划如何运作的数据。

希望几周后在拉斯维加斯的黑帽大会上见到你，我们将在7月31日和8月1日中午左右在我们的展位上进行缓解绕过赏金提交的现场评审。

Katie Moussouris 高级安全策略师，MSRC https://twitter.com/k8em0（那是零）