Każdego roku na Black Hat Microsoft wyłania listę 100 topowych badaczy bezpieczeństwa (Top 100 Security Researchers), by pokazać światu zaangażowanie społeczności. Microsoft Security Response Center (MSRC) współpracuje z tysiącami badaczy, zaś lista pozwala firmie wyłonić i zaprezentować światu tych najbardziej produktywnych w danym roku. Jak powstaje zestawienie i kto w nim figuruje?
Prace nad tegoroczną listą rozpoczęły się od zestawienia wszystkich spraw z okresu od 1 lipca 2017 r. do 30 czerwca 2018 r. Brane są pod uwagę sprawy, które zostały rozwiązane. Sprawy, które zostały rozpoczęte w tym okresie, ale nadal czekają na rozwiązanie, będą brane pod uwagę w następnym zestawieniu. Wyniki sortowane są według podziękowań w celu ustalenia badacza i odfiltrowania raportów firm zewnętrznych, takich jak ZDI lub iDefense. Teraz zaczyna się matematyka. Nie wszystkie podatności są takie same. Waga dokonań mierzona jest w oparciu o wpływ na bezpieczeństwo i klientów. Wpływ na bezpieczeństwo (security impact) oceniany jest w skali 1-20, a ciężkość (severity) w skali 1-3.
Microsoft nanosi też poprawki względem badań, związanych z programami Mitigation Bounty i Bounty for Defense, które zazwyczaj mają mniejszy wpływ na bezpieczeństwo, ale poprawiają ochronę wszystkich klientów. Po tym następuje sortowanie badaczy według ocen ważonych. Badacze z taką samą liczbą punktów otrzymują to samo miejsce na wykresie. W tym roku wyniki zostały zaprezentowane na Black Hat USA w środę, 8 sierpnia. Listę opublikowano też na stronie Microsoft TechNet.
"Lista ta identyfikuje topowych badaczy bezpieczeństwa, którzy włożyli swój wkład w badania nad produktami i usługami Microsoftu" - czytamy na stronie. "Doceniamy całą pracę i partnerstwo ze społecznością bezpieczeństwa na przestrzeni lat. Jest to dobre roczne odzwierciedlenie kontrybucji z ostatniego roku. Róbcie dalej tę świetną robotę. Mamy nadzieję usłyszeć was również w tym roku".
