Przez ostatni rok Microsoft wypłacił 13,7 mln dolarów nagród w programach Bug Bounty

Przez ostatni rok Microsoft wypłacił 13,7 mln dolarów nagród w programach Bug Bounty

 Krzysztof Sulikowski
Krzysztof Sulikowski
12:05
05.08.2020
1071 wyświetlenie

Microsoft Bounty Program, czyli program tropienia błędów w programach i usługach Microsoftu, każdego roku wypłaca milionowe nagrody za trafne wskazania. Przykładowo za informacje o lukach w Azure można dostać nawet 100 tys. dolarów. W ostatnim roku firma wypłaciła w sumie 13,7 mln dolarów, czyli wielokrotnie więcej niż w poprzednich latach.

Badacze zabezpieczeń są ważną częścią ekosystemu cyberbezpieczeństwa, a wielu gigantów technologii potrafi docenić ich starania. Odkrywając i zgłaszając podatności Microsoftowi poprzez Coordinated Vulnerability Disclosure (CVD), badacze nadal pomagają milionom klientów i otrzymują nagrody. Przez ostatnie 12 miesięcy Microsoft wypłacił im w sumie 13,7 mln dolarów — ponad trzykrotnie więcej niż rok wcześniej (4,4 mln) i ponad sześć razy więcej niż dwa lata temu (2 mln). Co zatem zmieniło się w zeszłym roku?

Nieustannie oceniamy krajobraz zagrożeń, aby dokonywać ewolucji naszych programów, i słuchamy feedbacku od badaczy, aby pomóc w łatwiejszym dzieleniu się ich badaniami. W tym roku uruchomiliśmy sześć nowych programów polowania na błędy oraz dwa nowe granty badawcze, przyciągając ponad 1000 kwalifikujących się raportów od 300 badaczy z 6 kontynentów. Oprócz dodania nowych programów bug bounty wydaje się, że dystans społeczny spowodowany COVID-19 wpłynął na aktywność badaczy zabezpieczeń. We wszystkich naszych 15 programach tropienia błędów zaobserwowaliśmy mocne zaangażowanie badaczy i większą objętość zgłoszeń podczas kilku pierwszych miesięcy pandemii.
— Microsoft Security Response Center

OPIS

W jakich usługach i produktach można wyszukiwać podatności? Aktualna lista programów:

  • Microsoft Dynamics 365 Bounty Program, uruchomiony w lipcu 2019
  • Azure Security Lab, uruchomiony w sierpniu 2019
  • Microsoft Edge on Chromium Bounty Program, uruchomiony w sierpniu 2019
  • Election Guard Bounty Program, uruchomiony w październiku 2019
  • Identity Bounty Program, zaktualizowany w październiku 2019
  • Xbox Bounty Program, uruchomiony w styczniu 2020
  • Azure Sphere Security Research Challenge, uruchomiony w maju 2020
  • Windows Insider Preview Bounty Program, zaktualizowany w lipcu 2020

Dodatkowo działają nowe programy badawcze:

  • Most Valuable Researcher Recognition Program, zaktualizowany w lipcu 2019
  • Security Researcher Quarterly Leaderboard, uruchomiony w sierpniu 2019
  • Identity Research Grant, uruchomiony w styczniu 2020
  • Microsoft Security AI RFP, uruchomiony wraz z Microsoft Research w marcu 2020
  • Machine Learning Security Evasion Competition, uruchomiony wraz z with CUJO AI, VMRay i MRG Effitas w czerwcu 2020

Microsoft jak zwykle podziękował wszystkim badaczom za udział w programach i zapowiedział, że nadal będzie je rozszerzał oraz wzmacniał partnerstwo ze społecznością.


Spodobał Ci się ten artykuł? Podziel się z innymi!

Źródło: https://msrc-blog.microsoft.com/2020/08/04/microsoft-bug-bounty-programs-year-in-review

Polecamy również w kategorii Bezpieczeństwo