漏洞赏金计划成果初现
金秋是传统收获的季节。今天我们自豪地宣布六位杰出安全研究员的名单,他们通过参与微软新推出的漏洞赏金计划,帮助我们提升了产品安全性。今年六月启动该计划时,我们制定了三大战略目标:
- 加强黑客/安全研究员社区与微软客户之间的双赢关系,并在此过程中建立与新研究人员的联系
- 在产品发布周期早期(最好是预览版或测试阶段)获得更多漏洞报告
- 了解可用于突破平台级防御的新漏洞利用技术,从而构建针对整类攻击的保护措施
获奖研究员名单
在获得获奖者许可后,我们正式公布这些通过参与赏金计划帮助微软客户的安全研究员:
- James Forshaw
- Ivan Fratric
- Jose Antonio Vazquez Gonzalez
- Masato Kinugawa
- Fermin J. Serna
- Peter Vreugdenhil
计划成效亮点
整体成果: 通过赏金计划,我们收到了来自此前从未直接向我们报告过的研究人员的漏洞报告,这意味着有更多优秀人才愿意直接与我们合作提升产品安全性。
IE11预览版漏洞赏金: 在IE11预览版发布的前30天内,我们就收到了多个符合赏金条件的漏洞报告。这与IE10测试版时期形成鲜明对比——当时我们在前30天未收到任何公告级别的报告。预览期是接收报告的理想时机,使我们能够更早解决问题。通常情况下,研究人员往往要到代码正式发布后才会报告这些发现。
随着秋叶变色、气温转凉,我们很高兴分享这个始于初夏的赏金计划带来的丰收成果。微软漏洞赏金计划在前三个月取得了巨大成功,我们对黑客社区的高度参与和热情感到欣喜。
敬请期待更多消息!
Katie Moussouris
微软安全响应中心高级安全策略师
