微软的漏洞赏金计划已经推出十个年头。在这十年时间里,微软累计向安全研究人员支付了 6,300 万美元(折合人民币约 4.5 亿元)奖金,其中有 6,000 万美元是在过去五年中支付的。
微软官方也在庆祝漏洞赏金计划推出十周年的文章提到,自 2013 年成立以来,微软已向来自 70 个国家的数千名安全研究人员提供了超过 6000 万美元的资助。这些研究人员根据协调漏洞披露发现并报告了漏洞,帮助微软应对不断发展的安全威胁形势和新兴技术。
在赏金计划上狠狠“砸钱”
2013年,微软正式启动漏洞赏金计划,专注于 windows 8.1 和 Inte.NET Explorer 11 中的漏洞。最初,微软每年收到的漏洞报告不到 100 份,只有几十名研究人员参与,每年获得数十万美元的奖励。
2019 年初,微软改进了赏金计划,增加了对漏洞赏金的投资,将最具影响力报告的奖励金额提高到行业平均水平的 2 至 10 倍。
这一策略在快速扩大赏金计划项目上取得了巨大成功。在 2019 财年,微软赏金报告、计划参与者和奖励数量比上一年增加了一倍多。从 2020 年开始,微软每年向大约 300 名研究人员 提供超过 1300 万美元的资助,而且这一数额还在不断增加。
2020 年 7 月,微软推出了基于场景类别的赏金计划,用于发现对客户隐私和安全构成严重风险的漏洞,这一计划奖金额度更高,最高可达10万美元。微软方面表示,研究人员齐心协力,发现的零点击远程代码执行 (RCE) 或跨租户漏洞的数量同比增加了50%以上。”
如今,微软正在运行 17 个漏洞赏金计划,涵盖Azure、Edge、Microsoft 365、Windows、Xbox 等产品。针对 Hyper-V 虚拟机管理程序中影响较大的漏洞提供高达 25 万美元的奖励。
软件真的更安全了吗?
漏洞赏金计划看上去是高效暴露漏洞的万灵丹,但这样做真的能确保软件安全吗?
曾在微软任职 7 年,并致力于推动赏金计划实施的 Katie Moussouris 给出了否定的答案。更讽刺的是,她将此归因于漏洞赏金平台的兴起,以及开发人员把重点放在漏洞披露计划和赏金上,而不是做安全软件开发的工作。
她解释称:“这两项都在投资范围内,赏金是一部分,更重要的是你要真正解决漏洞问题。”
Moussouris 的理念是,必须尽可能多地防止漏洞和修复漏洞,才可以公开漏洞披露或漏洞奖励计划。
除了 Moussouris 提到的开发人员应该关注的工作重点,有调研机构从人性的视角审视了这个问题:如果所谓的道德黑客中有人不那么道德会怎样?如果粗心大意的赏金猎手就是没能报告漏洞会如何?如果没报告的漏洞后续暴露出来可能导致公司无法承担的代价会怎样?
有报告指出,典型的漏洞赏金计划为快速发现漏洞问题提供了激励,这种操作理论上很高产,但并不能抹杀恰当审查的必要性和保障计划覆盖整个攻击界面的重要性。
不能只用金钱来评估项目是否成功
为了使软件和硬件产品更加安全,Moussouris 建议形成“具体的反馈循环”,将漏洞奖励学习反馈到组织的安全开发生命周期中。
此外,那些管理奖金的人应该制定“更有意义的指标”来评估他们的项目是否成功,而不仅仅是通过向多少研究人员支付了多少现金来评估。
Moussouris 提出,“我们必须明确建立一个明确的标准,将漏洞赏金计划和安全开发生命周期联系起来。比如通过赏金计划是否减少或消除了各种漏洞?以及修复关键漏洞的平均时间是否减少?如果没有,那么就要根据情况适当分配资源。”
参考链接:
https://www.theregister.com/2023/11/22/microsofts_bug_bounty_moussouris/
https://msrc.microsoft.com/blog/2023/11/celebrating-ten-years-of-the-microsoft-bug-bounty-program-and-more-than-60m-awarded/