坚守“MSRC 倾听”承诺

上周在 BlueHat 的“MSRC 倾听”环节中，我与漏洞响应项目经理 Mechele Gruhn 一同登台，解释了 MSRC 如何改变我们的沟通、工作流程和工具，为安全研究社区的合作伙伴提供更好的用户体验。我们承诺将更多沟通 MSRC 中影响客户和研究合作伙伴的动态。

我们没想到这么快就有机会展示这一承诺。

早在 2018 年 6 月，微软更新了我们的缓解绕过赏金条款。正如 MSRC 漏洞与缓解团队的 Joe Bialek 在一篇关于范围变更的博客中所解释的，我们从对 CFG 绕过的出色研究中学到了很多，以及我们需要如何加强它，因此我们将其从目标列表中移除。然而，当 MSRC 在 8 月迁移到新网站时，我们意外发布了旧的赏金条款，而不是最新的条款。我们在 BlueHat 期间发现了这一问题，当时缓解绕过研究人员 Alex Ionescu 和 Yunhai Zhang 指出 CFG 重新进入了范围内目标列表，并询问这是否是故意的。

今天，我们正在更新缓解绕过赏金的条款，再次移除 CFG。如果您在 2018 年 8 月 7 日至今天之间提交了符合条件的 CFG 缓解绕过报告，我们将根据您提交时发布的赏金条款评估该提交。

我们还看到了一个明确的机会，可以进行其他改进，以增加未来赏金范围变更的透明度。

首先，我们将在描述每个赏金的页面上恢复变更日志，就像我们今天为安全更新文档所做的那样。 其次，我们将在当前活跃赏金计划的页面上添加最后编辑日期。

这两项更改应使任何研究人员更容易确定他们提交报告时以及修复发布时的确切赏金条款。我们计划在接下来的几周内实施这两项更改。

这很困难。我们都希望第一次就做对，当我们没有做到时，承认这一点很尴尬。但既然在 BlueHat 做出了这一承诺，我们将兑现它：这是发生的事情，这是我们计划如何避免未来发生类似情况，以及我们今天将如何修复它。

Kymberlee Price
首席安全项目经理
MSRC 社区计划
贡献者：Christa Anderson、Matt Miller 和 Matthew Dressman