一个bug能奖励多少钱?哪方面的bug可以提?
安装工程师们花了大概五年的时间才搭建好这个平台,而一个bug只花了几个小时就率先发觉了这个平台的私有API插口。
难堪的同时,微软也表示很吃惊。
Bug们递交的每一份报告,将由总部坐落加拿大和澳洲的微软安全安装工程师们进行亲自初审。
值得一提的是,这个初审小组里的部分成员就是通过向微软递交漏洞后被批准加入的。
为了激励更多人参与这个计划,网站还推出了排名榜来推动良性竞争。
可以按国家或时间查看荣获奖励最多的。
建这个排名榜的另一个目的悬赏平台,是网站晓得这些人都靠VRP的成就来找工作,因此它们希望这个排名榜也能成为bug们的一个“背书”。
除此此外,不管你是“找茬”的菜鸟还是老鸟,网站还推出了Bug中学,帮助你提高找bug的能力。
它会给你介绍一些常见的bug“藏身之处”,你就可以从这些地方开始搜索目标。
为了节约双方的时间,它也告诉你什么常见bug虽然是无效的,不用递交。由于据统计递交上来的报告里有90%都没有实际意义。
另外还能教你怎么清晰地写一份展现完整场景的复现报告,那样也能便于初审人员对你发觉的bug进行分类和评级。
最后,为了让你们更便于快捷地递交报告悬赏平台,网站还简化了演示步骤。
介绍完了这个新平台,下边应当就是你们最关心的问题:详细规则怎样?哪方面的bug可以提?一个bug能奖励多少钱?
下边就来简略介绍一下微软这个漏洞赏金计划的规则吧。
微软的VRP规则
官网上的规则可不少,且界定的很详尽。我们就以为例:
首先是漏洞查找范围:
版因为微软原本都会经常回归检测,因而尽量多找、Beta、Dev版上的bug;
微软提供或使用的第三方组件(如、、Linux内核)上也可以。
之后是查找bug和漏洞报告相关的一些留意事项:
(1)找到了bug就在自己的机子上检测,不要去他人那边搞破坏;
(2)即便是为了修bug不得以的状况下,不可将发觉的bug提早公开,不然没赏金(通常状况下,bug再被标记为”已修补”后的14礼拜后才公开)
(3)所有报告目前都应当通过该平台依照统一的规则进行递交,不用额外加密;
且报告的品质十分重要,不然或许被判断无效,应当检测用例最小化、证明风险巨大、分析或许的成因、提供建议修复方式等。
(4)假如有多份相似的漏洞报告出现,由它们的跟踪器跟踪到的最早的递交为准;
(6)与微软相关业务有关的人员或许没有赏金资格;
最后就是你们最关心的赏金额度了:
总的来说,额度从500欧元到15万港元不等,特殊状况会特殊剖析。
一共10种类别的漏洞奖励,每一种漏洞按等级又有三档额度。
奖金最高的是“沙箱逃匿”()、内存损毁。
ps.有很多网民认为奖励越来越低了,因此造成不少人直接将漏洞转让给第三方。
其实,世界是这么良莠,也有人对赏金完全不感兴趣。
因此官方表示,假如12个月未能被认领的赏金将捐给公益机构。
网站地址:
参考链接:
—完—
本文系网易新闻•网易号特色内容激励计划签约帐户【量子位】原创内容,未经账户授权,严禁随便转载。
「智能车辆」交流群招募中!
欢迎关注智能车辆、自动驾驶的女子伴们加入社群,与行业大咖交流、切磋,不错过智能车辆行业发展&技术进展。加好友请务必备注您的姓名-公司-职位哦~
