微软赏金计划扩展 – Azure和Project Spartan

我很高兴宣布微软赏金计划的重大扩展。我们正在演进“在线服务漏洞赏金”，为Project Spartan启动新的赏金，并更新缓解绕过赏金。

这一持续演进包括对在线服务漏洞赏金计划的补充：

Azure

Azure是微软的云平台，也是微软云服务的支柱。该计划将包括多项Azure服务，例如：Azure虚拟机、Azure云服务、Azure存储、Azure Active Directory等。

Sway.com

Sway.com是一个Web应用程序，让用户以全新的方式跨多种设备和平台表达想法。

提高在线服务赏金计划的最高奖励

对于关键漏洞，我们将支付高达15,000美元的奖励，一如既往，对于影响更大、文档更完善的漏洞，奖励会更高。

我们还启动了一个与Windows 10技术预览版相关的新赏金：

Project Spartan漏洞赏金

微软的新浏览器将在今年晚些时候Windows 10发布时成为数百万用户接入互联网的入口。保护此平台的安全是浏览器团队的首要任务。

此赏金包括远程代码执行和沙箱逃逸，以及设计级安全漏洞。请务必使用Windows 10技术预览版中发布的最新版本。

微软将为Project Spartan中报告的安全漏洞支付高达15,000美元的奖励，具体细节可在计划条款中查看。不要犹豫，Project Spartan漏洞赏金计划将于2015年4月22日至2015年6月22日运行。

Spartan的赏金根据报告问题的严重性、文档质量以及问题的可重现性进行分级。

缓解绕过赏金和防御奖励赏金都非常活跃，对于在我们最新发布的操作系统版本（当前为Windows 8.1和Server 2012 R2）中绕过主动缓解措施（例如ASLR和DEP）的新颖方法，最高奖励100,000美元，并为报告的绕过提供可操作的防御技术额外奖励高达50,000美元。我们对缓解绕过赏金有一项补充：

Hyper-V逃逸

• 客户机到主机
• 客户机到客户机

这些对赏金计划的重要补充反映了技术向云的持续转变和演进。赏金计划的补充将成为微软严格安全计划的一部分。它们将与安全开发生命周期（SDL）、运营安全保证（OSA）框架、对我们产品和服务的定期渗透测试以及第三方审计的安全和合规认证一起工作。

微软与安全研究人员密切合作已有悠久历史。我个人进行过渗透测试和漏洞缓解，我理解这是一项紧张而困难的工作。我可以说，我们真正重视这些贡献。漏洞赏金是漏洞研究和防御生态系统中日益重要的一部分，并将随着时间的推移继续演进。我们将定期管理微软赏金计划，以帮助我们最好地保护众多用户。

Mark Russinovich将在他的“假设被入侵：云服务提供商安全内部视角”演讲中分享一些信息。您也可以在4月23日下午2点来RSA的微软展位参加赏金计划问答，或者您始终可以在https://aka.ms/BugBounty 及相关条款和常见问题解答中找到我们赏金计划的最新信息。

我期待看到一些出色的提交！

Jason Shirk