在公司宣布其最新的bug賞金計(jì)劃后，發(fā)現(xiàn)微軟Azure DevOps平臺(tái)漏洞的安全研究人員可以獲得高達(dá)20,000美元的收入。Microsoft Azure DevOps Services Bounty是該公司的第十個(gè)并發(fā)錯(cuò)誤獎(jiǎng)勵(lì)計(jì)劃，涵蓋了Redmond的基于云的DevOps工具套件。以前稱為Visual Studio Team Services，包括持續(xù)集成和持續(xù)交付(CI / CD)工具，Git repos，看板，測(cè)試工具等。

“安全性一直是我的熱情，”微軟的Azure DevOps工程總監(jiān)Buck Hodges說(shuō)，“我認(rèn)為這個(gè)程序是我們現(xiàn)有安全框架的自然補(bǔ)充。我們將繼續(xù)采用謹(jǐn)慎的代碼審查和檢查我們的基礎(chǔ)設(shè)施的安全性。我們?nèi)詫⑦\(yùn)行我們的安全掃描和監(jiān)控工具。我們將定期組建一個(gè)紅隊(duì)，以攻擊我們自己的系統(tǒng)，以發(fā)現(xiàn)漏洞。“

獎(jiǎng)勵(lì)范圍從500美元一直到高端的20,000美元，支付受到許多不同因素的影響。報(bào)告本身的質(zhì)量(意味著報(bào)告使Microsoft的工程師能夠輕松理解，復(fù)制和修復(fù)問(wèn)題)被評(píng)為高，中或低，每種都有不同的獎(jiǎng)勵(lì)。

根據(jù)錯(cuò)誤的嚴(yán)重程度，還會(huì)給予不同級(jí)別的補(bǔ)償，但只有“關(guān)鍵”或“重要”錯(cuò)誤才有資格獲得獎(jiǎng)勵(lì) - 任何其他類別的錯(cuò)誤的披露只會(huì)獲得Microsoft的公開(kāi)承認(rèn)，如果報(bào)告導(dǎo)致修復(fù)。

最后，還將考慮bug本身的影響?？梢岳斫獾氖?，遠(yuǎn)程代碼執(zhí)行缺陷是最有價(jià)值的，其次是權(quán)限提升和信息泄露，而篡改缺陷僅適用于有限的支付，并且拒絕服務(wù)漏洞根本不會(huì)得到獎(jiǎng)勵(lì)。

Bug獎(jiǎng)勵(lì)正在成為大公司中越來(lái)越普遍的安全措施，其目的是讓負(fù)責(zé)任地披露受害者的缺陷比利用個(gè)人利益更有價(jià)值。

像Facebook，Apple和Google這樣的主要組織都提供自己的bug賞金計(jì)劃，這種做法被吹捧為確保在野外出現(xiàn)更少漏洞和漏洞的好方法。