微软更新抓漏政策，外部举报的漏洞就算官方已知情，一样能获得全额奖金

微软宣布抓漏奖励专案（Microsoft Bounty Program）将与HackerOne平台合作以加速抓漏奖金的发送，同时提高奖金及抓漏范围，还变更了重复提交漏洞的奖励政策，举凡是第一个提交的安全人员，都能获得全额的奖金，不管微软内部是否已经抓到该漏洞。

微软在2018年总计发出了超过200万美元的抓漏奖金，从今年1月起，微软即开始加速奖金的发放流程，在Cloud、Windows及Azure DevOps抓漏专案中，只要微软完成漏洞的评估或重制即会发送奖金，而不必再等到修补完成。

此外，未来微软将与HackerOne平台合作以加速奖金支付程序，因此可提供更多的支付选项，涵盖PayPal、加密货币、或多达30种法定货币的转账，也能拆分奖金并把它们捐给不同的慈善机构。

目前微软与HackerOne的合作只限于抓漏奖金的发放，漏洞报告仍然是由微软安全回应中心（Microsoft Security Response Center）负责。

今年微软也将把Windows Insider Preview抓漏专案的最高奖金从1.5万美元提高到5万美元，将Microsoft Cloud抓漏专案的奖金从1.5万美元提高到2万美元，也将扩大Cloud专案与其它专案的抓漏范围。

另一方面，过去当安全研究人员所举报的漏洞是内部已知漏洞时，微软仅会象征性地提供10%的漏洞奖金，但微软现在认为，光是得知外部研究人员所具备的发现能力就是有价值的，因此决定变更该政策，只要是第一个回报符合资格之漏洞的研究人员，就算是微软内部已知的漏洞，也能获得全额奖金。