漏洞|微软花费1370万美元奖励漏洞发现者是去年同期的三倍
图片
凤凰网科技讯 北京时间8月5日消息 , 据国外媒体报道 , 自冠状病毒爆发以来 , “居家令”激发漏洞找茬员极大的热情 , 微软漏洞悬赏计划支付的金额在过去一段时间呈爆炸式增长 。
微软公司当地时间本周二表示 , 在截至2020年6月30日的12个月里 , 该公司已经花费1370万美元奖励产品漏洞发现者 , 比上一年度同期的440万美元多出逾两倍 。 微软直言 , 疫情封锁限制措施在此间扮演了极其重要的角色 。 因为找茬员被迫呆在家里 , 同时又面临失业风险 , 于是开始反复推敲微软的代码 。 在疫情爆发的前几个月里 , 研究人员参与度明显增强 , 漏洞报告数量不断增加 。
此外 , 漏洞悬赏呈爆炸式增长还与微软增加编程错误报告途径有关 。 据微软漏洞悬赏项目负责人杰克·斯坦利(Jarek Stanley)透露 , 该公司在2020年新增六个奖励项目和两个新的研究资助项目 , 吸引了来自六大洲300多名研究人员的1000多份合格报告 。
这种漏洞淘金热潮也许能够在一定程度上解释 , 为何微软每月发布的安全补丁一次就能解决CVE列出100多个的漏洞 。 然而 , 也有业内人士指出悬赏计划也许并不可以作为一项健康的长期安全优先指标 。Luta Security公司首席执行官 , 同时也曾是微软漏洞悬赏计划设计师凯蒂·穆苏里斯(Katie Moussouris)担心企业会走向歧途 , 过度强调外部漏洞奖励而忽视投入人力和资源来减少漏洞才是立身之本 。
穆苏里斯表示 , 在未来的某个时候 , 也许会有越来越多的工程师转变成找茬员 , 只需静待应用程序或系统软件发布 , 即可寻找漏洞以换取高达6位数的回报 。 更糟的是 , 其他公司也会效仿微软的做法 。 问题是 , 如果悬赏金额远高于公司内部漏洞检测程序员的薪酬时 , 也许会出现这样一种趋势 , 即企业会跳过重要的内部安全投资 , 以及人才不可避免地被分流 。
穆苏里斯最后指出 , “微软肯定会在内部安全方面进行投资 , 但像苹果那样将某些漏洞奖金定为25万美元甚至超过100万美元的趋势 , 有可能诱使内部安全人员离职 , 并加大吸引新人才的难度 。 企业在考虑悬赏漏洞之前 , 应该做的是评估其防止、发现和修复安全漏洞的内部能力 。 在内部投资 , 雇佣更熟练的安全人员 , 使用更好的工具 , 并授权一个安全的开发生命周期 , 比悬赏更能获得事半功倍的效果 。 (编译/良弼)
更多一手新闻 , 欢迎下载凤凰新闻客户端订阅凤凰网科技 。 想看深度报道 , 请微信搜索“iFeng科技” 。
(责任编辑:常安楠 )
推荐阅读
![[猎云网]数字时代新职业涌现“AI陪聊师”要求话痨十级、懂00后黑话](https://imgcdn.toutiaoyule.com/20200409/20200409230927346310a_t.jpeg)
- 微软|微软收购TiKToK,双方48小时内完成收购,金额远低预期
- 电脑使用技巧|微软重新发布补丁对Windows 10更新:修复磁盘优化程序等
- 融资并购,字节跳动|微软为实现社交野心,仍选择与甲骨文作斗争
- 技术|微软AltspaceVR, Oculus, 联合利华和Unity共同助力VR循
- 互联网|微软向用户发送了奇怪的Microsoft Teams FCM通知
- Tiktok|消息称,Tiktok出售给微软的交易可能在未来48小时内达成。
- tiktok|TikTok与微软交易或在未来48小时内达成 交易规模200亿-300亿美元
- TikTok|TikTok收购案进展:CEO离职信预示交易接近完成 沃尔玛联手微软对抗甲骨文
- cnBeta|微软曾持有部分苹果股份,如今价值多少?
- windows系统|微软将对Win10 v1803放弃支持:时间在6个月后