مایکروسافت سال گذشته میلیونها دلار صرف جایزه پیدا کردن باگ کرده است
مایکروسافت طی سال ۲۰۱۸، دو میلیون دلار بهعنوان جایزه یافتن باگ یا Bug Bounty در محصولاتش به محققان امنیتی پرداخت کرده است.
مایکروسافت سال گذشته طی برنامهی باگ بانتی یا اختصاص جایزه برای افرادی که باگ محصولات مایکروسافت را پیدا میکنند، درحدود ۲ میلیون دلار به محققان امنیتی که در محصولات این شرکت باگ امنیتی پیدا کرده بودند، در قالب جایزه پرداخت کرد.
بهنظر میرسد مایکروسافت درنظر دارد این برنامه را طی سال جاری بهصورت گستردهتری دنبال کند تا انجمنها و موسسات پژوهشی در حوزهی امنیت رغبت بیشتری برای مشارکت در این برنامهی مایکروسافت داشته باشند.
علاقمندان و متخصصان امنیتی میتوانند با پیدا کردن باگ در سرویسهای ابری، ویندوز یا Azure DevOps بدون انتظار به منظور رفع شدن باگ مورد نظر، تنها با گزارش دادن و تأیید شدن باگ، جایزه خود را دریافت کنند.
مایکروسافت با کوتاه کردن فاصلهی زمانی بین زمان ارسال باگ تا دریافت جایزه، سعی دارد رویکردی را در پیش بگیرد تا محققان امنیتی انگیزهی بیشتری برای یافتن باگهای محصولات این شرکت داشته باشند. این رویکرد باعث میشود محققان تشویق به همکاری در برنامهی یافتن باگ شوند و حتی منجر به همکاری محققان بیشتری در این حوزه خواهد شد.
همچنین مایکروسافت با استارتاپ HackerOne وارد همکاری جدیدی شده است تا فرایند اهداء جوایز را تسریع بخشد. پلتفرم امنیتی HackerOne، گزینههای بیشتری برای پرداخت جایزهها از جمله PayPal، ارز رمزنگاریشده و انتقال مستقیم بانکی با بیش از ۳۰ ارز رایج را بهعنوان گزینههای مختلف پرداخت در اختیار مایکروسافت قرار میدهد.
بهعلاوه مایکروسافت در برنامهی جدید خود، برخی جوایز را افزایش داده است. مثلا جایزهی پیدا کردن باگ Windows Insider Preview را از ۱۵ هزار دلار به ۵۰ هزار دلار در ماه ژانویهی ۲۰۱۹ افزایش داده است. همچنین جایزهی پیدا کردن باگ Microsoft Cloud برای آژور، آفیس ۳۶۵ و سایر سرویسهای آنلاین از ۱۵ هزار دلار به ۲۰ هزار دلار افزایش یافته است. در سال ۱۳۹۵ نیز مایکروسافت جایزه یافتن باگ در سرویس هایش را دو برابر کرد.
جایزههای مربوطبه پیدا کردن باگ در فضای ابری نیز با افزایش روبهرو بوده است و مایکروسافت قصد دارد طی سال جاری جوایز این بخش را بیشتر افزایش دهد. بهعلاوه، مایکروسافت سیاست خود را در مورد ارسال باگهای تکراری بهروزرسانی کرده است تا محققانی که حتی باگ امنیتی تکراری ارسال میکنند، بهدلیل مشارکت در این برنامه، جایزهای دریافت کنند. در حال حاضر اولین محققی که گزارشی از یک باگ برای مایکروسافت ارسال کند، جایزهی کامل را دریافت خواهد کرد؛ حتی اگر آن باگ قبلا بهصورت داخلی توسط مایکروسافت شناسایی شده باشد. با این وجود، سیاست شرکت در مورد گزارش باگهای تکراری از خارج شرکت، هنوز تغییری پیدا نکرده است و جایزه به اولین گزارش دریافتی تعلق میگیرد.