不要指望微軟會(huì)給那些披露其公司產(chǎn)品漏洞的安全人員發(fā)放什么獎(jiǎng)金。

微軟可信計(jì)算部的總監(jiān)Dave Forstrom在接受SearchSecurity.com的采訪(fǎng)時(shí)表示，由谷歌和Mozilla建立的軟件錯(cuò)誤回購(gòu)計(jì)劃（bug buyback programs）和微軟針對(duì)漏洞研究的策略是相違背的。Forstrom還表示，這種計(jì)劃未能使得漏洞的處理過(guò)程透明化，最終對(duì)微軟的用戶(hù)也起不到什么幫助。

一般而言，谷歌會(huì)對(duì)那些發(fā)現(xiàn)Chrome瀏覽器漏洞的研究人員支付最多3133美元的費(fèi)用。Mozilla的這一數(shù)字則為3000美元，不過(guò)針對(duì)的是Firefox瀏覽器的漏洞。

Forstom說(shuō)：“我們認(rèn)為，為每個(gè)漏洞支付一定的獎(jiǎng)金并不能滿(mǎn)足微軟用戶(hù)的最大利益，還有多種其他的途徑可以讓我們同安全研究人員開(kāi)展合作，從而更好的服務(wù)于安全社區(qū)。比如說(shuō)，微軟可以通過(guò)承認(rèn)研究人員的共同努力、贊助各種安全會(huì)議，從而使得安全社區(qū)不斷向前發(fā)展?！?/p>

上周，微軟宣布將改變自己現(xiàn)有的策略，立即在安全業(yè)界掀起了波瀾，這也是這家軟件巨頭希望見(jiàn)到的事情。微軟把“負(fù)責(zé)任”這一字眼從自己的漏洞披露策略中拿掉了，并把自己的軟件缺陷報(bào)告計(jì)劃（flaw-reporting program）更名為“協(xié)作的漏洞披露（coordinated vulnerability disclosure）”，這勢(shì)必會(huì)改變?nèi)藗冴P(guān)于漏洞披露的爭(zhēng)論。

這項(xiàng)聲明得到了來(lái)自安全社區(qū)各種各樣的反應(yīng)。一些人認(rèn)為去掉“負(fù)責(zé)任”這一詞匯將改變安全研究人員和軟件商之間長(zhǎng)期對(duì)峙的局面，但對(duì)安全人員報(bào)告軟件漏洞的方式并沒(méi)有多大變化。

Forstrom目前正在參加本周舉辦的2010年度黑帽大會(huì)。他表示，漏洞披露是一個(gè)正在進(jìn)行的話(huà)題，并不是只有微軟一家公司在進(jìn)行爭(zhēng)論。Forstrom說(shuō)，“之所以要進(jìn)行協(xié)作配合，其目的為了最大限度的滿(mǎn)足用戶(hù)的利益，并降低風(fēng)險(xiǎn)，不使之?dāng)U大?！?/p>

Adobe和微軟在積極防御計(jì)劃上開(kāi)展合作

微軟在2010年度黑帽大會(huì)上還發(fā)表了一項(xiàng)新的合作計(jì)劃聲明，微軟相信這勢(shì)必會(huì)加強(qiáng)自己的積極防御計(jì)劃（Active Protections Program，MAPP）。

Adobe系統(tǒng)公司已在MAPP計(jì)劃的框架內(nèi)同微軟展開(kāi)合作，以便在微軟發(fā)布漏洞補(bǔ)丁之前，提前得到詳細(xì)的漏洞技術(shù)資料。目前，已有65家安全廠(chǎng)商加入了該計(jì)劃，這使得他們可以為自己的用戶(hù)開(kāi)發(fā)數(shù)字簽名，并對(duì)漏洞攻擊代碼（exploit）進(jìn)行檢測(cè)。

Adobe公司負(fù)責(zé)產(chǎn)品安全和隱私的高級(jí)總監(jiān)Brad Arkin表示，MAPP計(jì)劃就像是專(zhuān)為Adobe而設(shè)計(jì)的一樣，它能增加公司的透明度并減少攻擊窗口期（attack window，即從漏洞發(fā)布到Adobe發(fā)布官方補(bǔ)丁之間的時(shí)間）。

Arkin說(shuō)，“我們可以從安全廠(chǎng)商那里源源不斷的獲得反饋，微軟的積極防御計(jì)劃無(wú)疑是軟件廠(chǎng)商之間得以分享信息的絕對(duì)標(biāo)準(zhǔn)（gold standard）。”

Arkin表示，Adobe公司在成為MAPP計(jì)劃的會(huì)員之后，將會(huì)提供自己產(chǎn)品的安全信息，并將其稱(chēng)之為“多一層防御（one more layer of defense）”。這些數(shù)據(jù)將會(huì)按微軟提供的模板進(jìn)行格式化，所有在今秋成為MAPP會(huì)員的廠(chǎng)商都可以獲得這些信息。

如果想加入MAPP計(jì)劃，廠(chǎng)商必須能對(duì)至少1萬(wàn)名用戶(hù)提供安全防御技術(shù)，如反病毒、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)等技術(shù)。

最新減災(zāi)工具包（mitigation toolkit）

微軟正在發(fā)行一款全新的工具，名叫“增強(qiáng)的減災(zāi)體驗(yàn)工具包（Enhanced Mitigation Experience Toolkit）”，其目的是幫助IT專(zhuān)業(yè)人員對(duì)現(xiàn)有的應(yīng)用程序使用安全減災(zāi)技術(shù)。該工具可以免費(fèi)獲取，在八月份就可供下載。

微軟的Forstrom表示，對(duì)仍在運(yùn)行微軟老版本軟件的公司而言，這款自動(dòng)工具將尤其有用。比如，使用IE6的Windows XP用戶(hù)在默認(rèn)情況下會(huì)運(yùn)行數(shù)據(jù)執(zhí)行保護(hù)（DEP），但是堆噴射內(nèi)存分配技術(shù)（heap spray allocation，免遭攻擊的內(nèi)存減災(zāi)技術(shù)）卻需要手動(dòng)進(jìn)行。不過(guò)，使用這一全新的自動(dòng)工具之后，IT專(zhuān)業(yè)人員就可以更加容易的對(duì)現(xiàn)有應(yīng)用程序進(jìn)行安全減災(zāi)。

Forstrom說(shuō)：“IT專(zhuān)業(yè)人員無(wú)需再次進(jìn)行編碼和編譯，只需擁有基礎(chǔ)設(shè)施就可以在進(jìn)程中運(yùn)行該工具。”  

【編輯推薦】

1. 微軟將漏洞披露方式由負(fù)責(zé)調(diào)整為協(xié)調(diào)
2. 微軟警告：Windows XP的零日漏洞攻擊增加