一个bug能奖励多少钱?哪方面的bug可以提?
工程师们花了大概五年的时间才搭建好这个平台,而一个bug只花了几个小时就率先发觉了这个平台的私有API插口。
难堪的同时,微软也表示很吃惊。
Bug们递交的每一份报告,将由总部坐落加拿大和澳洲的微软安全工程师们进行亲自初审。
值得一提的是,这个初审小组里的部分成员就是通过向微软递交漏洞后被批准加入的。
为了激励更多人参与这个计划,网站还推出了排名榜来推动良性竞争。
可以按国家或时间查看获得奖励最多的。
建这个排名榜的另一个目的,是网站晓得好多人都靠VRP的成就来找工作,所以她们希望这个排名榜也能成为bug们的一个“背书”。
除此之外,不管你是“找茬”的菜鸟还是老鸟,网站还推出了Bug学院,帮助你提高找bug的能力。
它会给你介绍一些常见的bug“藏身之处”,你就可以从这些地方开始搜索目标。
为了节约双方的时间,它也告诉你什么常见bug虽然是无效的,不用递交。由于据统计递交上来的报告里有90%都没有实际意义。
另外就会教你怎么清晰地写一份呈现完整场景的复现报告悬赏平台,这样也能便捷审查人员对你发觉的bug进行分类和评级。
最后,为了让你们更便捷快捷地递交报告,网站还简化了演示流程。
介绍完了这个新平台悬赏平台,下边应当就是你们最关心的问题:具体规则怎样?哪方面的bug可以提?一个bug能奖励多少钱?
下边就来简单介绍一下微软这个漏洞赏金计划的规则吧。
微软的VRP规则
官网上的规则可不少,且界定的很详尽。我们就以为例:
首先是漏洞查找范围:
版因为微软本身都会频繁回归测试,所以尽量多找、Beta、Dev版上的bug;
微软提供或使用的第三方组件(如、、Linux内核)上也可以。
之后是查找bug和漏洞报告相关的一些注意事项:
(1)找到了bug就在自己的机子上测试,不要去他人那儿搞破坏;
(2)除非是为了修bug不得以的情况下,不可将发觉的bug提早公开,不然没赏金(通常情况下,bug再被标记为”已修补”后的14礼拜后才公开)
(3)所有报告如今都必须通过该平台依照统一的规则进行递交,不用额外加密;
且报告的质量十分重要,不然可能被判断无效,必须测试用例最小化、证明风险很大、分析可能的诱因、提供建议修复方式等。
(4)假如有多份相同的漏洞报告出现,由她们的跟踪器跟踪到的最早的递交为准;
(6)与微软相关业务有关的人员可能没有赏金资格;
最后就是你们最关心的赏金额度了:
总的来说,额度从500欧元到15万港元不等,特殊情况会特殊剖析。
一共10种类型的漏洞奖励,每一种漏洞按等级又有三档额度。
奖金最高的是“沙箱逃逸”()、内存损毁。
ps.有太多网友认为奖励越来越低了,所以造成不少人直接将漏洞转让给第三方。
其实,世界是这么良莠,还有人对赏金完全不感兴趣。
所以官方表示,假如12个月尚未被认领的赏金将捐给慈善机构。
网站地址:
参考链接:
—完—
本文系网易新闻•网易号特色内容激励计划签约帐号【量子位】原创内容,未经帐号授权,严禁随便转载。
「智能车辆」交流群招募中!
欢迎关注智能车辆、自动驾驶的男子伴们加入社群,与行业大咖交流、切磋,不错过智能车辆行业发展&技术进展。加好友请务必备注您的姓名-公司-职位哦~
