北京時間 8 月 5 日消息，據(jù)國外媒體報道，自冠狀病毒暴發(fā)以來，“居家令”激發(fā)漏洞找茬員極大的熱情，微軟漏洞懸賞計劃支付的金額在過去一段時間呈爆炸式增長。

微軟公司當(dāng)?shù)貢r間本周二表示，在截至 2020 年 6 月 30 日的 12 個月里，該公司已經(jīng)花費(fèi) 1370 萬美元獎勵產(chǎn)品漏洞發(fā)現(xiàn)者，比上一年度同期的 440 萬美元多出逾兩倍。微軟直言，疫情封鎖限制措施在此間扮演了極其重要的角色。因?yàn)檎也鐔T被迫呆在家里，同時又面臨失業(yè)風(fēng)險，于是開始反復(fù)推敲微軟的代碼。在疫情爆發(fā)的前幾個月里，研究人員參與度明顯增強(qiáng)，漏洞報告數(shù)量不斷增加。

此外，漏洞懸賞呈爆炸式增長還與微軟增加編程錯誤報告途徑有關(guān)。據(jù)微軟漏洞懸賞項目負(fù)責(zé)人杰克 · 斯坦利 (Jarek Stanley)透露，該公司在 2020 年新增六個獎勵項目和兩個新的研究資助項目，吸引了來自六大洲 300 多名研究人員的 1000 多份合格報告。

這種漏洞淘金熱潮也許能夠在一定程度上解釋，為何微軟每月發(fā)布的安全補(bǔ)丁一次就能解決 CVE 列出 100 多個的漏洞。然而，也有業(yè)內(nèi)人士指出懸賞計劃也許并不可以作為一項健康的長期安全優(yōu)先指標(biāo)。Luta Security 公司首席執(zhí)行官，同時也曾是微軟漏洞懸賞計劃設(shè)計師凱蒂 · 穆蘇里斯 (Katie Moussouris)擔(dān)心企業(yè)會走向歧途，過度強(qiáng)調(diào)外部漏洞獎勵而忽視投入人力和資源來減少漏洞才是立身之本。

穆蘇里斯表示，在未來的某個時候，也許會有越來越多的工程師轉(zhuǎn)變成找茬員，只需靜待應(yīng)用程序或系統(tǒng)軟件發(fā)布，即可尋找漏洞以換取高達(dá) 6 位數(shù)的回報。更糟的是，其他公司也會效仿微軟的做法。問題是，如果懸賞金額遠(yuǎn)高于公司內(nèi)部漏洞檢測程序員的薪酬時，也許會出現(xiàn)這樣一種趨勢，即企業(yè)會跳過重要的內(nèi)部安全投資，以及人才不可避免地被分流。

穆蘇里斯最后指出，“微軟肯定會在內(nèi)部安全方面進(jìn)行投資，但像蘋果那樣將某些漏洞獎金定為 25 萬美元甚至超過 100 萬美元的趨勢，有可能誘使內(nèi)部安全人員離職，并加大吸引新人才的難度。企業(yè)在考慮懸賞漏洞之前，應(yīng)該做的是評估其防止、發(fā)現(xiàn)和修復(fù)安全漏洞的內(nèi)部能力。在內(nèi)部投資，雇傭更熟練的安全人員，使用更好的工具，并授權(quán)一個安全的開發(fā)生命周期，比懸賞更能獲得事半功倍的效果。”