微軟與Facebook最近公布了一套全新漏洞賞金計劃，旨在通過獎勵機制促進安全研究人員查找并報告那些可能影響廣大互聯(lián)網(wǎng)用戶的常用軟件安全缺陷。

該計劃將由專門項小組負責管理，小組研究人員來自Facebook、谷歌、微軟以及其它幾家多年來一直幫助管理或參與其它安全賞金計劃的企業(yè)。

“我們積累的經(jīng)驗促使自己不同改善安全漏洞的披露機制，從而讓每一位用戶享受到更理想的互聯(lián)網(wǎng)環(huán)境，”這些研究人員在接受hackerone.com采訪時表示——這是一家專門管理新漏洞賞金計劃并負責聯(lián)系安全研究人員與響應團隊共同解決漏洞報告的網(wǎng)站。

新方案的獎勵范圍包括Python、Ruby、PHP以及Perl解釋器;Django、Ruby on Rails以及Phabricator開發(fā)工具與框架;Apache與Nginx Web服務器外加谷歌Chrome、IE 10、Adobe Reader與Flash Player的應用程序沙箱機制。

如果所發(fā)現(xiàn)的安全問題涉及一家或多家市場主流供應商軟件方案——根據(jù)項目管理方的說明，其中包括互聯(lián)網(wǎng)協(xié)議中的安全漏洞，相關(guān)人員也能夠獲得獎勵。下面我們一起回顧過去曾經(jīng)出現(xiàn)過的此類實例，包括2008年針對MD5散列功能以生成偽造CA證書的沖突攻擊、針對SSL的BEAST攻擊以及由Dan Kaminsky于2008年報告的DNS緩存投毒漏洞等。

賞金的具體數(shù)額取決于所報告問題的嚴重程度以及所影響的軟件對象。舉例來說，發(fā)現(xiàn)Phabricator中的安全漏洞可以得到最低300美元、最高3000美元的獎勵;而發(fā)現(xiàn)應用程序沙箱或者互聯(lián)網(wǎng)協(xié)議中的安全漏洞則至少能得到5000美元獎勵——根據(jù)評測小組的判斷，這一數(shù)字還可以酌情增加。如果為某些軟件項目提供修復補丁，漏洞報告的賞金還會加倍。

這套新方案不僅針對安全研究人員，任何符合該項目信息披露理念與指導方針的安全問題發(fā)現(xiàn)者都能獲得獎勵，其中包括學術(shù)研究人員、軟件工程師、系統(tǒng)管理員甚至是業(yè)余技術(shù)愛好者。

目前賞金由微軟及Facebook負責贊助，但HackerOne也鼓勵響應小組在財政允許的情況下自行解決暴露出來的安全隱患。

上個月，谷歌公布了類似的項目，即為那些能夠為使用范圍廣泛的開源應用程序及軟件庫提高安全性的補丁買單，其中包括OpenSSL、OpenSSH、BIND、libjpeg、libpng等等。這就解釋了谷歌為什么沒有參與到HackerOne項目中來——不過谷歌Chrome安全團隊的Chris Evans參與到HackerOne小組中來。

微軟此次加入方案贊助陣營可能意味著該公司在多年的反對之后，終于放下姿態(tài)開始接受這種針對個別安全漏洞提供獎勵的機制。

微軟曾于今年六月針對自家產(chǎn)品推出過兩項賞金計劃，但二者的共同目標在于研究如何推進有價值的新型防御技術(shù)或者探索繞過現(xiàn)有防御機制的方法，而非針對個別安全漏洞。本周一，微軟公司對其中一項賞金計劃進行擴展，開始向針對主動攻擊活動提交技術(shù)報告的安全專家發(fā)放獎金。

微軟今年六月還推出了另一項更為傳統(tǒng)的漏洞賞金計劃，旨在鼓勵研究人員探索IE 11預覽版本中的安全漏洞——但該計劃僅持續(xù)了三十天。