BlueHat：承旧启新，共筑蓝色安全防线

作者：Katie Moussouris
职位：高级安全战略主管，微软安全社区与战略团队负责人
喜好：酷炫漏洞、BlueHat、焊枪、量子隐形传态
厌恶：粗鲁行为、袜子配凉鞋、甘草糖

回顾我在微软的五年时光（时间飞逝！），我以全新的视角看到了我们在坚守保护客户和计算生态系统目标的同时所取得的巨大进步。我刚休完产假回归，便立即投入会议季，在多个会议上发言，有机会与安全研究社区的新老朋友交流。正值微软践行“可信计算”原则、与更广泛安全社区合作的第十年，现在是审视这一关系发展的好时机。

我们的内部BlueHat简报会始于2005年。当时我们有两个关键目标：让我们的开发人员和技术联系人接触公司内外聪明的研究人员，并为研究人员提供一个与可能尚未意识到像攻击者一样思考价值的开发人员和技术人员沟通的渠道。正如你所猜测的，起初双方都存在怀疑甚至些许恐惧，研究人员来到雷德蒙德，高管和产品团队走出舒适区，坦诚讨论安全问题。但这一模式奏效了，其他公司也效仿举办了类似会议。即使在我们筹备第十二届简报会之际，看到研究人员直接向负责编写修复代码的开发人员解释问题，仍然令人振奋。

自此，BlueHat简报会已演变为更广泛战略的一部分，旨在在社区中良好互动并改善更广泛的计算生态系统。除了简报会，我们还为全球其他行业活动提供直接资金赞助和支持——今年覆盖12个国家的约20场会议。与个别研究人员关系的改善有些很简单，例如建立我们的公告致谢政策和在线服务致谢政策，以认可直接向我们报告问题的研究人员。我们以其他方式认可个人才能，为开发中产品的渗透测试提供合同——事实上，微软当前许多有效的渗透测试合同源于通过向MSRC报告问题展示才华的研究人员。有时，我们还能将这些人才招聘到微软；我们拥有来自研究社区的优秀人才在此工作，并一直在寻找更多人才。我们不断寻找与社区有意义合作的方式。去年夏天，我们向研究人员颁发了26万美元，作为首届BlueHat奖的一部分。该奖项为研究人员开发能够消除整类攻击的安全防御提供资金奖励。

七周后，我们将在雷德蒙德举行第十二届BlueHat简报会，为微软内外热爱安全的人们提供双向思想交流的机会。我们从倾听和学习社区，转变为真正成为社区的一部分。随着形势变化，我们已演进我们的响应和参与方式，并将继续如此。

与这一社区的工作关系——以及安全研究的未来——在未来十年将走向何方？我们将专注于构建酷炫的产品，研究社区必将以他们自己的方式帮助我们确保安全——通过协调漏洞披露向我们报告问题，通过在BlueHat简报会上教育和“利用”我们的开发人员和高管，以及通过为微软工作并成为我们内部安全社区的一部分，帮助我们防御全球超过十亿计算机系统。我们兴奋地想象下一个十年会是什么样子，以及我们将如何合作，我今天对攻击者和防御者之间猫鼠游戏的下一步发展充满好奇，就像五年前加入公司时一样。

请继续关注演讲阵容，随着活动临近，我期待欢迎我们精英团体——BlueHat社区——的下一位成员，共同演进和成长。

Katie Moussouris
高级安全战略主管
MSRC