庆祝微软漏洞赏金计划十周年及超过6000万美元的奖励

今年是微软漏洞赏金计划的十周年纪念，该计划是我们主动保护客户免受安全威胁策略的重要组成部分。自2013年启动以来，微软已向来自70个国家的数千名安全研究人员奖励了超过6000万美元。这些个人在协调漏洞披露（CVD）框架下发现并报告了漏洞，帮助微软应对不断演变的安全威胁格局和新兴技术。

在这篇博客文章中，我们将回顾过去十年微软漏洞赏金计划的里程碑和经验教训，探讨未来的机遇和挑战。我们还要衷心感谢所有参与该计划的安全研究人员，他们为提升我们产品和服务的整体安全性做出了贡献。没有你们的创造力和协作，这个计划不可能实现。感谢你们过去十年的合作。

如何开始

我们在2013年6月启动了公司的第一个漏洞赏金计划，最初包括两个项目：针对Windows 8.1中的新型利用技术和Internet Explorer 11（IE11）预览版中的漏洞。虽然我们不是第一个为外部报告软件安全漏洞提供金钱激励的公司，但我们是首批激励在beta或预览产品中发现问题的公司之一。我们相信，在产品正式发布前尽早识别和修复漏洞对客户保护至关重要。

漏洞赏金计划在内部并非没有阻力。Katie Moussouris，微软漏洞赏金计划的关键内部倡导者之一，回忆说公司高管当时不确定是否有必要为研究人员的漏洞发现提供补偿。尽管微软每年从全球收到稳定的漏洞报告，但改变立场并不简单。团队内部还担心，鼓励外部研究人员寻找漏洞可能会无意中公开暴露和利用漏洞，有些人担心我们的服务可能会不堪重负。

在启动微软漏洞赏金计划之前，Katie领导了一个内部微软项目，分析并构建了业务案例，影响了行业标准的漏洞披露。她也是微软代表，共同编写和编辑了ISO关于漏洞披露和处理过程的标准，并促进了与研究人员的合作，作为有效供应商漏洞管理的核心实践。BlueHat Prize，一个防御性安全竞赛，奖金池为20万美元，也在她的任期内启动，是展示微软对研究人员在保护生态系统方面重要贡献的奖励承诺的关键一步。

在推广激励研究的想法后，包括强调在beta版中发现和修复问题以最小化发布后紧急补丁的价值，团队最终获得了前进的绿灯。微软漏洞赏金计划于2013年6月26日正式启动，并取得了成功。在IE11预览期的前30天，我们收到并修复了几个高严重性漏洞。这一经验强调了多样化和全球化的外部研究社区在识别和报告漏洞方面的重要性，显著加强了我们的漏洞响应过程。

邀请外部贡献者帮助识别和报告漏洞被证明是增强我们漏洞响应过程的有效方法。最初的五年带来了丰富的见解。Travis Rhodes，当时的高级软件安全工程经理，回忆说在2014年，在线服务漏洞赏金的启动引发了研究社区的众多报告，以至于MSRC被迫创新工具和流程以扩展赏金计划。配备了必要的工具和资源后，我们启动了一个持续的计划，取消了时间限制，全年欢迎安全研究提交。

Jason Shirk，当时的主要安全策略师，回忆说漏洞赏金在2015年和2016年是一个热门话题，许多公司有兴趣启动赏金计划。我们开始跨行业合作，帮助标准化研究人员发现更高质量漏洞的模型，并稳定“道路规则”，以确保不同公司赏金计划的一致性。他提到了“BountyCraft”，一个跨微软、谷歌、Meta（前Facebook）和BugCrowd的合作努力，参加主要安全会议，教授安全研究人员如何更好地发现和报告漏洞以获得更高奖励。

2017年，我们扩大了范围，包括Windows Insider Preview、Office、Edge等。这证实了我们相信激励和合作在加强客户保护方面的有效性，这一原则自此成为我们安全方法和持续学习的重要组成部分。

投资和扩展

在计划的早期，我们每年收到不到100份报告，有几十名研究人员参与，每年奖励几十万美元。然而，到2018年，计划已经增长，有十几个项目，每个由不同的工程组织管理。从工程角度来看，按产品设置预算、目标和操作是有意义的，但也导致研究人员向微软报告时的体验差异很大。响应、处理和最终奖励与产品相关的发现所需的时间差异很大。在某些情况下，过程需要几周，而在其他情况下，延长到6个月或更长时间。此外，奖励金额不同，确定因素并不总是透明的。

在听取研究人员和内部工程团队的反馈后，2019年1月，主要安全PM经理Kymberlee Price和当时的高级项目经理Jarek Stanley改革了我们的赏金计划，从Windows、Azure和M365开始。我们通过将最高影响报告的奖励金额提高到行业平均水平的2到10倍，增加了对漏洞赏金研究人员合作的投入。我们为所有计划建立了更清晰、公开可用的指南，以帮助研究人员的理解和成功。我们的奖励现在依赖于四个主要因素：漏洞严重性、安全影响、受影响的产品和报告的完整性。我们还摒弃了长期存在的未书面说明的注意事项和规则，并将从提交到奖励的时间缩短到30天以下。

例如，微软当时的做法是拒绝或减少对内部团队已经发现的外部报告问题的奖励。这一政策经常让研究人员感到沮丧，导致许多人放弃，因为他们不相信问题真的是重复的，或者因为他们开始假设他们发现的任何东西都已经被微软发现。为了解决这个问题，我们改变了政策，总是奖励第一个外部报告的合格问题，即使它已经被微软发现但尚未修复。这不仅是在信任和透明度方面向前迈出的一步，而且对客户安全也有很好的意义。了解外部研究人员能发现什么是无价的，有助于优先修复和投资更广泛的缓解措施以保护客户。

我们将奖励标准转向优先考虑客观性和客户焦点，消除了基于新颖性、复杂性、聪明度或其他主观措施的奖励。认识到即使简单的漏洞也可能构成重大威胁，我们重组后的赏金计划专注于客户影响，无论识别问题所需的时间或努力如何。

这一策略在快速扩展赏金计划方面取得了巨大成功。在2019财年（FY），我们相比前一年，赏金报告数量、计划参与者和奖励金额都翻了一番多。到FY20，我们每年向超过300名研究人员奖励超过1300万美元，覆盖15个产品和服务导向的计划，并持续增长。自2013年以来奖励的6300万美元中，仅过去五年就分配了6000万美元。

我们的重点不仅仅是增加数量，还包括提高严重性和安全影响以保护客户。2020年7月，我们引入了基于场景的类别，奖励更高，最高10万美元，用于对客户隐私和安全构成严重风险的漏洞。研究人员积极响应，零点击远程代码执行（RCE）或跨租户漏洞的数量同比增长超过50%。

但成功不仅仅是数量；它关乎在真正重要的地方保护客户，并不仅仅是修复报告的漏洞。这就是为什么计划中的数据是武装整个公司的产品和安全团队的关键部分，以提供更广泛的安全改进和缓解措施，而不仅仅是一次性的漏洞修复。例如，微软进攻性研究与安全工程（MORSE）使用通过赏金计划报告的漏洞，帮助推动投资，通过改变微软内部的工作方式更系统地修复它们。M365应用安全团队使用漏洞赏金数据改进和精炼所有微软的静态分析规则。除了这些产品团队倡议，MSRC漏洞和缓解团队在案例过程中进行变体狩猎，利用原始提交的漏洞发现和减少任何相关风险。

我们今天的位置

今天，激励和合作已经融入我们公司的漏洞披露计划。每一个被分类、评估和修复的报告都会审查潜在的赏金资格。无需注册，无需报名，每个人都受邀。通过这种方法，我们很高兴与来自70多个国家的极其多样化和有才华的研究人员社区合作。不仅仅是兼职安全研究人员，还包括学生、学者和全职网络安全专业人士，包括我们微软主动保护计划合作伙伴的进攻和防御安全团队成员。我们甚至欢迎偶尔的青少年（当然需要父母的许可）。

赏金计划涵盖产品和服务，如Azure、Edge、Microsoft 365、Dynamics 365和Power Platform、Windows、Xbox等。我们知道创意安全研究没有一刀切的方法，因此每个计划都有自己的范围、资格标准、奖励范围和提交指南，以帮助研究人员追求有影响的研究而不造成意外伤害。这些指南也 tailored 到每个产品或领域的特定威胁模型，以帮助研究人员专注于对客户安全最重要的领域和问题。

我们理解我们与社区的合作是独特的，需要量身定制的方法。我们不断演变我们的参与、倾听、学习和客户保护方法。从投资长期研究资助、 focused 研究挑战、通过我们季度和年度最有价值研究人员排行榜公开感谢和认可，我们始终倾听研究人员和客户，寻找更好的合作方式。

微软与研究社区的合作是我们保护客户的众多方式之一。通过赏金计划，我们可以通过研究人员的视角理解我们的攻击面， surface 新颖和高影响的漏洞，并识别 broad 缓解措施的机会，导致我们攻击面的整体硬化。感谢您的参与，最重要的是，感谢您多样化和独特的视角，帮助我们保护客户并赋能全球。

Aanchal Gupta，微软公司副总裁兼副CISO