微软奖金计划拓展 – Azure 和 Project Spartan
我很高兴地宣布,我们将大幅拓展微软奖金计划的范围。我们将推动“在线服务漏洞奖金计划”(Online Services Bug Bounty) 的革新、启动针对 Project Spartan 的全新奖金计划,并更新“缓解绕过奖金计划”(Mitigation Bypass Bounty)。
这一持续革新包括向在线服务漏洞奖金计划添加全新内容:
-
-
- Azure 是 Microsoft 的云平台,也是 Microsoft 云服务的支柱。
-
-
-
- 本计划将包含多项 Azure 服务,例如:Azure 虚拟机、Azure 云服务、Azure 存储、Azure Active Directory 等
-
-
-
- Sway.com 是一个 Web 应用程序,用户可通过它在多个设备和平台上以全新方式表达自己的想法
-
-
- 提高“在线服务漏洞奖金计划”的奖金金额上限
-
-
- 我们将针对关键漏洞支付多达 15,000 美元的奖金,像往常一样,漏洞的影响力越大且记录越详尽准确,支付的奖金就越多。
-
我们还将推出一项与 Windows 10 技术预览版相关的新奖金计划:
-
- Project Spartan 漏洞奖金计划
-
-
- 随着 Windows 10 在今年晚些时候发布,Microsoft 的新浏览器将成为数百万用户的上网入口。确保此平台的安全是浏览器团队的第一要务。
-
-
-
- 本奖金计划的涵盖范围包括“远程代码执行”和“沙箱逃逸”,以及设计层面的安全漏洞。
-
-
-
-
- 始终确保使用所发布的 Windows 10 技术预览版最新版本
-
-
-
-
- Microsoft 将针对 Project Spartan 中报告的安全漏洞支付多达 15,000 美元的奖金,您可以参阅计划条款以了解详细信息。“Project Spartan 漏洞奖金计划”将于 2015 年 4 月 22 日开始,2015 年 6 月 22 日结束 - 别再犹豫,立即参加
-
-
-
-
- 针对 Spartan 的奖金计划根据所报告问题的严重程度、文档的质量和问题的再现性程度进行分级。
-
-
目前正在积极开展缓解绕过奖金计划和蓝帽子防御奖金计划,这两项计划针对在最新发行的操作系统版本(当前为 Windows 8.1 和 Server 2012 R2)中绕过主动缓解措施(如 ASLR 和 DEP)的新方法支付最高 100,000 美元的奖金,针对所报告规避方法的可行防御技术支付最高 50,000 美元的奖金。我们还向缓解规避奖金计划增加了一项内容:
-
- Hyper-V 逃逸
-
-
- Guest-to-Host
-
-
-
- Guest-to-Guest
-
-
-
- Guest-to-Host DoS(非分布式,来自单一Guest)
-
以上这些奖金计划的重要新增内容,表明了技术正朝着云不断转变和发展。奖金计划的新增内容将成为 Microsoft 严密的安全计划的一部分。这些内容将与安全开发生命周期 (SDL)、运行安全保证 (OSA) 框架、产品和服务的定期渗透测试以及由第三方审核的安全和合规认证一同实施。
Microsoft 在与安全研究人员密切合作方面有着悠久的历史。我本人曾参与渗透测试和攻击缓解技术方面的工作,因此了解这是一项紧张且困难的任务。可以说,我们真正重视的正是这些工作的贡献。漏洞奖金计划正成为漏洞研究和防御生态系统日益重要的组成部分,并将不断变革。我们将定期管理 Microsoft 奖金计划,以便为众多用户提供最佳保护。
Mark Russinovich 将在他的“假定违规:深入了解云服务提供商安全性”讲话中分享一些信息。您也可以于 4 月 23 日下午 2 点前往 Microsoft 在 RSA 上的展位咨询有关奖金计划的信息,还可以随时在 https://aka.ms/BugBounty 上以及关联的条款和常见问题中查找有关我们奖金计划的最新信息。
我期待听到一些不错的意见!
Jason Shirk