В Майкрософт не стали изобретать велосипед и вернулись к уже проверенной в ходе разработки Internet Explorer практике: для повышения уровня безопасности нового браузера Spartan компания запускает «Bug Bounty program», программу поощрения за сообщения о багах и уязвимостях. Браузер Spartan придет на смену Internet Explorer в новой ОС Windows 10, выход которой планируется уже этим летом.
Майкрософт готовы заплатить до 15 000 долларов за каждую найденную в новом браузере уязвимость. Например, 6 000 долларов можно получить за сообщение о возможности удалённого выполнения вредоносного кода, а для того, чтобы повысить лимит вознаграждения, нужно ещё и написать пример программы, использующей эту уязвимость.
Полная таблица вознаграждений.
Майкрософт может увеличивать выплаты по своему усмотрению в зависимости от сложности найденной уязвимости.
Условия участия в Bug Bounty Program достаточно просты. Вы должны:
- Быть старше 14 лет или иметь разрешение родителей/опекунов на участие в программе;
- Не представлять организации, занимающиеся вопросами информационной безопасности;
- Если вы сотрудник подобной организации, то в рамках программы вы должны действовать как частное лицо;
- Работодатель должен быть оповещен о вашем участии в программе;
- Не быть резидентом государства, входящего в санкционный список США (Сирия, Иран, Куба, Судан, Северная Корея);
- Не являться сотрудником Майкрософт.
Программа поиска уязвимостей действует до 22 июня 2015 года. Для того чтобы получить деньги за успешно найденный баг, вам нужно будет предоставить информацию о себе через электронную почту по адресу secure@microsoft.com. У Майкрософт нет предубеждений о квалификации тестировщиков, любой человек может сообщить о найденной уязвимости и получить вознаграждение. Представители Майкрософт поясняют, что при появлении дублирующихся репортов деньги получит тот пользователь, который сообщил об уязвимости первым.
Автор: ragequit