您现在的位置是:首页 >财经 > 2021-05-08 11:09:33 来源:
微软推出了20000美元的Azure DevOps bug赏金计划
在公司宣布其最新的bug赏金计划后,发现微软Azure DevOps平台漏洞的安全研究人员可以获得高达20,000美元的收入。Microsoft Azure DevOps Services Bounty是该公司的第十个并发错误奖励计划,涵盖了Redmond的基于云的DevOps工具套件。以前称为Visual Studio Team Services,包括持续集成和持续交付(CI / CD)工具,Git repos,看板,测试工具等。
“安全性一直是我的热情,”微软的Azure DevOps工程总监Buck Hodges说,“我认为这个程序是我们现有安全框架的自然补充。我们将继续采用谨慎的代码审查和检查我们的基础设施的安全性。我们仍将运行我们的安全扫描和监控工具。我们将定期组建一个红队,以攻击我们自己的系统,以发现漏洞。“
奖励范围从500美元一直到高端的20,000美元,支付受到许多不同因素的影响。报告本身的质量(意味着报告使Microsoft的工程师能够轻松理解,复制和修复问题)被评为高,中或低,每种都有不同的奖励。
根据错误的严重程度,还会给予不同级别的补偿,但只有“关键”或“重要”错误才有资格获得奖励 - 任何其他类别的错误的披露只会获得Microsoft的公开承认,如果报告导致修复。
最后,还将考虑bug本身的影响。可以理解的是,远程代码执行缺陷是最有价值的,其次是权限提升和信息泄露,而篡改缺陷仅适用于有限的支付,并且拒绝服务漏洞根本不会得到奖励。
Bug奖励正在成为大公司中越来越普遍的安全措施,其目的是让负责任地披露受害者的缺陷比利用个人利益更有价值。
像Facebook,Apple和Google这样的主要组织都提供自己的bug赏金计划,这种做法被吹捧为确保在野外出现更少漏洞和漏洞的好方法。