來源：新浪VR

微軟近日透露，已向安全研究人員獎勵1370萬美元，以獎勵他們自去年7月以來反饋微軟軟件漏洞的行為。

微軟的漏洞獎金是對研究軟件漏洞的研究人員的最大財政獎勵之一。重要的是，這些研究人員要將漏洞報告給相關供應商，而不是通過地下市場將漏洞賣給網絡犯罪分子，或者利用經紀人將漏洞分發給政府機構。

雷德蒙德公司有15個漏洞獎勵項目，研究人員通過這些項目在2019年7月1日至2020年6月30日之間凈賺1370萬美元。這一數字是去年同期440萬美元的三倍。

微軟安全響應中心的成員在一篇博客文章中表示：“在對手利用安全問題之前，花時間揭露和報告安全問題的研究人員贏得了我們的集體尊重和感激。”

通過漏洞獎金向微軟和其他供應商報告的漏洞可以幫助減少零日漏洞，在供應商提供安全補丁阻止漏洞之前，攻擊者可以利用這些漏洞入侵系統。向用戶提供補丁也有助于在漏洞被披露后保護系統免受攻擊。

目前，微軟每年因漏洞而獲得的獎金總額遠高于谷歌公司獎金總額。在2019年，谷歌公司因漏洞而獲得的獎金總額為650萬美元。這一數字是廣告和搜索巨頭雅虎前一年支出的兩倍，雅虎稱這是“破紀錄的一年”。

根據谷歌漏洞搜索小組谷歌Project Zero或GPZ發布的最新數據，微軟在漏洞獎金方面的大筆支出是合理的。

GPZ本周透露，今年上半年，已經有11個零日漏洞被利用。這些漏洞很少被發現：微軟僅在3月份就修補了115個漏洞。但是在谷歌發現的11個漏洞中，微軟軟件占了4個。

微軟的漏洞包括ie瀏覽器CVE-2020-0674的漏洞，微軟在2月份打了補丁。在微軟今年發布補丁之前，還有三個Windows內存破壞漏洞被利用。

根據GPZ的統計，在2019年受到攻擊的20個“零日”中，有11個涉及微軟的產品，這遠遠高于其他任何供應商的“零日”，包括谷歌。

然而，谷歌指出，檢測偏向于微軟，因為有更多的安全工具專門檢測Windows漏洞。

微軟表示，今年獎金總額較高是因為它推出了6項新的獎勵計劃和2項新的研究撥款。這些研究吸引了來自300多名研究人員的1000多份合格報告。

微軟還表示，COVID-19的社交距離促使了安全研究活動的增加。

微軟表示：“在我們的所有15個獎勵計劃中，我們看到在疫情爆發的頭幾個月，研究人員的參與度很高，報告數量也有所增加。”

微軟在此期間推出的獎勵包括：

微軟Dynamics 365賞金計劃，于2019年7月啟動

Azure安全實驗室，于2019年8月推出

微軟Edge on Chromium獎勵計劃，于2019年8月啟動

選舉警衛賞金計劃，于2019年10月啟動

Xbox Bounty計劃，于2020年1月啟動

Azure Sphere安全研究挑戰賽，于2020年5月啟動