據(jù)國外媒體6月23日報(bào)道，多年來，微軟一直拒絕為找出其軟件安全漏洞的研究者們提供金錢獎(jiǎng)勵(lì)，盡管谷歌和Facebook一直都在逐漸提高所謂“漏洞獎(jiǎng)金”項(xiàng)目的獎(jiǎng)勵(lì)額度?，F(xiàn)在這一軟件巨頭突然改變了想法——有時(shí)給出的獎(jiǎng)金甚至高于后兩家競爭對手。

微軟上周宣布，愿意對關(guān)于Windows安全漏洞的信息支付最高10萬美元的獎(jiǎng)金，就從本月末即將發(fā)布的Windows 8.1預(yù)覽版開始。對于能為阻止類似漏洞日后被利用而提供新防御技術(shù)的研究者們，微軟將為每份方案提供價(jià)值5萬美元的額外“防御獎(jiǎng)金”。

“發(fā)現(xiàn)一個(gè)漏洞是極具挑戰(zhàn)性的，他們需要一項(xiàng)新技術(shù)。”微軟安全響應(yīng)中心總監(jiān)邁克 里維說，“所以要讓人們在這一領(lǐng)域費(fèi)些腦筋的確需要高額獎(jiǎng)金的激勵(lì)”。

除了這些10萬和5萬美元的大獎(jiǎng)之外，微軟還將為影響IE 11預(yù)覽版的漏洞支付1.1萬美元，這項(xiàng)策略是為了在該軟件向消費(fèi)者廣泛發(fā)布前修復(fù)漏洞。“(大多數(shù)公司)不會設(shè)獎(jiǎng)尋找測試版軟件的漏洞，所以一些研究者就會守到軟件發(fā)布投產(chǎn)時(shí)才將漏洞公布。”微軟高級安全分析師凱蒂 牟索利斯在一篇關(guān)于漏洞獎(jiǎng)金項(xiàng)目的博客文章中寫道，“對于我們及我們的客戶來說，這些漏洞總是發(fā)現(xiàn)得越早越好”。

與微軟相比，谷歌對發(fā)現(xiàn)其網(wǎng)絡(luò)應(yīng)用中的漏洞僅提供了2萬美元的獎(jiǎng)金，盡管該搜索公司的確曾在今年1月的一次大賽中對Chrome操作系統(tǒng)中的一個(gè)漏洞重獎(jiǎng)15萬美元，并在前一年為Chrome瀏覽器中的漏洞支付了6萬美元。Mozilla公司為其軟件漏洞提供了3000美元獎(jiǎng)金。Facebook提供的最低獎(jiǎng)勵(lì)為500美元，但是沒有明確其上限。

那么微軟為什么現(xiàn)在才開始懸賞自己軟件中漏洞呢?里維表示，微軟一直通過第三方漏洞購買項(xiàng)目獲得越來越多的漏洞報(bào)告，這些項(xiàng)目包括惠普旗下的“零時(shí)差計(jì)劃”(Zero Day Initiative)和威瑞信(Verisign)的iDefense——后者購買漏洞的費(fèi)用高達(dá)1萬美元并向軟件供應(yīng)商報(bào)告漏洞。微軟還看到了一些賽事活動(dòng)的影響，如一年一度的Pwn2Own黑客大賽——黑客們先是找到微軟產(chǎn)品的高級漏洞，然后再揭秘自己的技術(shù)，為此有時(shí)能獲得6位數(shù)的獎(jiǎng)勵(lì)。

微軟之所以推出該項(xiàng)目，部分誘因也可能是：在由打算利用漏洞開展間諜或犯罪活動(dòng)的政府以及黑市買家所構(gòu)成的另一個(gè)圈子里，獎(jiǎng)勵(lì)破解技術(shù)的力度不斷加大。根據(jù)去年3月我所做的一次采訪，一個(gè)影響Windows系統(tǒng)的有效漏洞能幫黑客從情報(bào)或執(zhí)法機(jī)構(gòu)那里賺得6萬到12萬美元不等，而一個(gè)能通過IE全面攻破一臺Windows電腦的漏洞可以賺到高達(dá)20萬美元。