站在“MSRC Listens”背后

上周在BlueHat的“MSRC Listens”环节中，我与漏洞响应PM团队经理Mechele Gruhn一同登台，解释了MSRC如何改变我们的沟通、工作流程和工具，以为安全研究社区的合作伙伴提供更好的用户体验。我们承诺会更多地沟通MSRC中影响客户和研究伙伴的动态。

我们没想到这么快就有机会展示这一承诺。

早在2018年6月，微软更新了我们的缓解绕过赏金条款。正如MSRC漏洞与缓解团队的Joe Bialek在一篇关于范围变更的博客中所解释的，我们从对CFG绕过的出色研究中学到了很多，以及我们需要做些什么来加强它，因此我们将其从目标列表中移除。然而，当MSRC在8月迁移到新网站时，我们意外发布了旧的赏金条款，而不是最新的版本。我们在BlueHat期间发现了这一点，当时缓解绕过研究人员Alex Ionescu和Yunhai Zhang指出CFG重新进入了范围内目标列表，并询问这是否是故意的。

今天，我们正在更新缓解绕过赏金的条款，以再次移除CFG。如果您在2018年8月7日至今天之间提交了符合条件的CFG缓解绕过报告，我们将根据您提交时发布的赏金条款评估该提交。

我们还看到了一个明确的机会，可以进行其他改进，以增加未来赏金范围变更的透明度。

首先，我们将在描述每个赏金的页面上恢复变更日志，就像我们今天为安全更新文档所做的那样。 其次，我们将在当前活跃赏金计划的页面上添加最后编辑日期。

这两项更改应使任何研究人员更容易确定他们提交报告时以及修复发布时的确切赏金条款。我们计划在未来几周内实施这两项更改。

这很困难。我们都希望第一次就做对，当我们没有做到时，承认这一点很尴尬。但既然在BlueHat做出了这一承诺，我们将兑现它：这就是发生的事情，这是我们计划如何避免未来发生这种情况，以及我们今天将如何修复它。

Kymberlee Price
首席安全PM经理
MSRC社区计划
贡献者：Christa Anderson、Matt Miller和Matthew Dressman