چاپ

آریا جوان - مایکروسافت طی سال 2018، دو میلیون دلار به‌عنوان جایزه یافتن باگ یا Bug Bounty در محصولاتش به محققان امنیتی پرداخت کرده است.

مایکروسافت سال گذشته طی برنامه‌ی باگ بانتی یا اختصاص جایزه برای افرادی که باگ محصولات مایکروسافت را پیدا می‌کنند، درحدود 2 میلیون دلار به محققان امنیتی که در محصولات این شرکت باگ امنیتی پیدا کرده بودند، در قالب جایزه پرداخت کرد. به‌نظر می‌رسد مایکروسافت درنظر دارد این برنامه را طی سال جاری به‌صورت گسترده‌تری دنبال کند تا انجمن‌ها و موسسات پژوهشی در حوزه‌ی امنیت رغبت بیشتری برای مشارکت در این برنامه‌ی مایکروسافت داشته باشند.

مقاله‌های مرتبط:
گوگل 15 میلیون دلار برای جوایز مربوط‌به کشف باگ‌های امنیتی هزینه کرده است مایکروسافت صفحه‌ای برای اطلاع‌رسانی وضعیت باگ‌ های ویندوز 10 ایجاد می‌کند
علاقمندان و متخصصان امنیتی می‌توانند با پیدا کردن باگ در سرویس‌های ابری، ویندوز یا Azure DevOps بدون انتظار به منظور رفع شدن باگ مورد نظر، تنها با گزارش دادن و تأیید شدن باگ، جایزه خود را دریافت کنند. مایکروسافت با کوتاه کردن فاصله‌ی زمانی بین زمان ارسال باگ تا دریافت جایزه، سعی دارد رویکردی را در پیش بگیرد تا محققان امنیتی انگیزه‌ی بیشتری برای یافتن باگ‌های محصولات این شرکت داشته باشند. این رویکرد باعث می‌شود محققان تشویق به همکاری در برنامه‌ی یافتن باگ شوند و حتی منجر به همکاری محققان بیشتری در این حوزه خواهد شد. همچنین مایکروسافت با استارتاپ HackerOne وارد همکاری جدیدی شده است تا فرایند اهداء جوایز را تسریع بخشد. پلتفرم امنیتی HackerOne، گزینه‌های بیشتری برای پرداخت جایزه‌ها از جمله PayPal، ارز رمزنگاری‌شده و انتقال مستقیم بانکی با بیش از 30 ارز رایج را به‌عنوان گزینه‌های مختلف پرداخت در اختیار مایکروسافت قرار می‌دهد. به‌علاوه مایکروسافت در برنامه‌ی جدید خود، برخی جوایز را افزایش داده است. مثلا جایزه‌ی پیدا کردن باگ Windows Insider Preview را از 15 هزار دلار به 50 هزار دلار در ماه ژانویه‌ی 2019 افزایش داده است. همچنین جایزه‌ی پیدا کردن باگ Microsoft Cloud برای آژور، آفیس 365 و سایر سرویس‌های آنلاین از 15 هزار دلار به 20 هزار دلار افزایش یافته است. در سال 1395 نیز مایکروسافت جایزه یافتن باگ در سرویس‌ هایش را دو برابر کرد . جایزه‌های مربوط‌به پیدا کردن باگ در فضای ابری نیز با افزایش رو‌به‌رو بوده است و مایکروسافت قصد دارد طی سال جاری جوایز این بخش را بیشتر افزایش دهد. به‌علاوه، مایکروسافت سیاست خود را در مورد ارسال باگ‌های تکراری به‌روزرسانی کرده است تا محققانی که حتی باگ امنیتی تکراری ارسال می‌کنند، به‌دلیل مشارکت در این برنامه‌، جایزه‌ای دریافت کنند. در حال حاضر اولین محققی که گزارشی از یک باگ برای مایکروسافت ارسال کند، جایزه‌ی کامل را دریافت خواهد کرد؛ حتی اگر آن باگ قبلا به‌صورت داخلی توسط مایکروسافت شناسایی شده باشد. با این وجود، سیاست شرکت در مورد گزارش باگ‌های تکراری از خارج شرکت، هنوز تغییری پیدا نکرده است و جایزه به اولین گزارش دریافتی تعلق می‌گیرد.