微软漏洞赏金年度回顾:1370万美元奖励与安全研究新动向

微软2022年漏洞赏金计划年度报告显示,过去12个月向全球46个国家330多名安全研究人员发放1370万美元奖励,涵盖Hyper-V、Azure、M365等高影响领域,并新增多项研究场景与挑战。

微软漏洞赏金计划年度回顾:1370万美元奖励

微软漏洞赏金计划及与全球安全研究社区的合作是微软整体防御客户安全威胁方法的重要组成部分。我们的赏金计划激励高影响领域的安全研究,以应对不断变化的安全形势、新兴技术和新威胁。安全研究人员通过协调漏洞披露向微软报告漏洞,帮助我们保护数百万客户。

在过去12个月中,微软向46个国家的330多名安全研究人员发放了1370万美元的漏洞赏金。去年,最高奖励为Hyper-V赏金计划下的20万美元,所有计划的平均奖励超过1.2万美元,展示了全球最大且最多样化的安全研究社区的高影响力研究。

过去一年的变化

我们不断演进计划和合作关系以应对变化的威胁形势。成熟过程的关键要素是听取研究人员的反馈,消除入门障碍并更好地促进研究工作。今年,我们在许多计划中引入了新的研究挑战和高影响攻击场景,以奖励专注于客户安全最关键领域的研究。这些攻击场景添加到我们的Azure、Dynamics 365和Power Platform以及M365赏金计划中,有助于聚焦最高影响的云漏洞,包括Azure Synapse Analytics、Key Vault和Azure Kubernetes服务等领域。

新增和更新的漏洞赏金与研究计划

  • Azure SSRF研究挑战,2021年8月启动
  • Azure赏金计划,2021年8月新增高影响研究场景
  • Edge赏金计划,2021年10月将Android/iOS纳入范围
  • 微软研究人员认可计划,2022年2月扩展认可类别和礼品
  • 应用和本地服务器赏金计划,2022年4月新增Exchange、Skype和SharePoint本地版本
  • M365赏金计划,2022年4月新增高影响研究场景
  • Dynamics 365和Power Platform赏金计划,2022年4月新增高影响研究场景并将Power Platform纳入范围

我们相信与全球安全研究社区的合作是保护客户的重要组成部分,我们将继续投资并演进我们的赏金计划,作为加强这些合作的一部分。感谢所有今年与微软分享研究以帮助保护数百万微软客户的研究人员。

Lynn Miyashita 和 Madeline Eckert
MSRC

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次