微软推出了20000美元的Azure DevOps bug赏金计划

在公司宣布其最新的bug赏金计划后，发现微软Azure DevOps平台漏洞的安全研究人员可以获得高达20,000美元的收入。Microsoft Azure DevOps Services Bounty是该公司的第十个并发错误奖励计划，涵盖了Redmond的基于云的DevOps工具套件。以前称为Visual Studio Team Services，包括持续集成和持续交付(CI / CD)工具，Git repos，看板，测试工具等。

“安全性一直是我的热情，”微软的Azure DevOps工程总监Buck Hodges说，“我认为这个程序是我们现有安全框架的自然补充。我们将继续采用谨慎的代码审查和检查我们的基础设施的安全性。我们仍将运行我们的安全扫描和监控工具。我们将定期组建一个红队，以攻击我们自己的系统，以发现漏洞。“

奖励范围从500美元一直到高端的20,000美元，支付受到许多不同因素的影响。报告本身的质量(意味着报告使Microsoft的工程师能够轻松理解，复制和修复问题)被评为高，中或低，每种都有不同的奖励。

根据错误的严重程度，还会给予不同级别的补偿，但只有“关键”或“重要”错误才有资格获得奖励 - 任何其他类别的错误的披露只会获得Microsoft的公开承认，如果报告导致修复。

最后，还将考虑bug本身的影响。可以理解的是，远程代码执行缺陷是最有价值的，其次是权限提升和信息泄露，而篡改缺陷仅适用于有限的支付，并且拒绝服务漏洞根本不会得到奖励。

Bug奖励正在成为大公司中越来越普遍的安全措施，其目的是让负责任地披露受害者的缺陷比利用个人利益更有价值。

像Facebook，Apple和Google这样的主要组织都提供自己的bug赏金计划，这种做法被吹捧为确保在野外出现更少漏洞和漏洞的好方法。