微軟推出了20000美元的Azure DevOps bug賞金計劃

在公司宣布其最新的bug賞金計劃后，發現微軟Azure DevOps平臺漏洞的安全研究人員可以獲得高達20,000美元的收入。Microsoft Azure DevOps Services Bounty是該公司的第十個并發錯誤獎勵計劃，涵蓋了Redmond的基于云的DevOps工具套件。以前稱為Visual Studio Team Services，包括持續集成和持續交付(CI / CD)工具，Git repos，看板，測試工具等。

“安全性一直是我的熱情，”微軟的Azure DevOps工程總監Buck Hodges說，“我認為這個程序是我們現有安全框架的自然補充。我們將繼續采用謹慎的代碼審查和檢查我們的基礎設施的安全性。我們仍將運行我們的安全掃描和監控工具。我們將定期組建一個紅隊，以攻擊我們自己的系統，以發現漏洞。“

獎勵范圍從500美元一直到高端的20,000美元，支付受到許多不同因素的影響。報告本身的質量(意味著報告使Microsoft的工程師能夠輕松理解，復制和修復問題)被評為高，中或低，每種都有不同的獎勵。

根據錯誤的嚴重程度，還會給予不同級別的補償，但只有“關鍵”或“重要”錯誤才有資格獲得獎勵 - 任何其他類別的錯誤的披露只會獲得Microsoft的公開承認，如果報告導致修復。

最后，還將考慮bug本身的影響。可以理解的是，遠程代碼執行缺陷是最有價值的，其次是權限提升和信息泄露，而篡改缺陷僅適用于有限的支付，并且拒絕服務漏洞根本不會得到獎勵。

Bug獎勵正在成為大公司中越來越普遍的安全措施，其目的是讓負責任地披露受害者的缺陷比利用個人利益更有價值。

像Facebook，Apple和Google這樣的主要組織都提供自己的bug賞金計劃，這種做法被吹捧為確保在野外出現更少漏洞和漏洞的好方法。