不要指望微軟會給那些披露其公司產品漏洞的安全人員發放什么獎金。

微軟可信計算部的總監Dave Forstrom在接受SearchSecurity.com的采訪時表示，由谷歌和Mozilla建立的軟件錯誤回購計劃（bug buyback programs）和微軟針對漏洞研究的策略是相違背的。Forstrom還表示，這種計劃未能使得漏洞的處理過程透明化，最終對微軟的用戶也起不到什么幫助。

一般而言，谷歌會對那些發現Chrome瀏覽器漏洞的研究人員支付最多3133美元的費用。Mozilla的這一數字則為3000美元，不過針對的是Firefox瀏覽器的漏洞。

Forstom說：“我們認為，為每個漏洞支付一定的獎金并不能滿足微軟用戶的最大利益，還有多種其他的途徑可以讓我們同安全研究人員開展合作，從而更好的服務于安全社區。比如說，微軟可以通過承認研究人員的共同努力、贊助各種安全會議，從而使得安全社區不斷向前發展?！?/p>

上周，微軟宣布將改變自己現有的策略，立即在安全業界掀起了波瀾，這也是這家軟件巨頭希望見到的事情。微軟把“負責任”這一字眼從自己的漏洞披露策略中拿掉了，并把自己的軟件缺陷報告計劃（flaw-reporting program）更名為“協作的漏洞披露（coordinated vulnerability disclosure）”，這勢必會改變人們關于漏洞披露的爭論。

這項聲明得到了來自安全社區各種各樣的反應。一些人認為去掉“負責任”這一詞匯將改變安全研究人員和軟件商之間長期對峙的局面，但對安全人員報告軟件漏洞的方式并沒有多大變化。

Forstrom目前正在參加本周舉辦的2010年度黑帽大會。他表示，漏洞披露是一個正在進行的話題，并不是只有微軟一家公司在進行爭論。Forstrom說，“之所以要進行協作配合，其目的為了最大限度的滿足用戶的利益，并降低風險，不使之擴大?！?/p>

Adobe和微軟在積極防御計劃上開展合作

微軟在2010年度黑帽大會上還發表了一項新的合作計劃聲明，微軟相信這勢必會加強自己的積極防御計劃（Active Protections Program，MAPP）。

Adobe系統公司已在MAPP計劃的框架內同微軟展開合作，以便在微軟發布漏洞補丁之前，提前得到詳細的漏洞技術資料。目前，已有65家安全廠商加入了該計劃，這使得他們可以為自己的用戶開發數字簽名，并對漏洞攻擊代碼（exploit）進行檢測。

Adobe公司負責產品安全和隱私的高級總監Brad Arkin表示，MAPP計劃就像是專為Adobe而設計的一樣，它能增加公司的透明度并減少攻擊窗口期（attack window，即從漏洞發布到Adobe發布官方補丁之間的時間）。

Arkin說，“我們可以從安全廠商那里源源不斷的獲得反饋，微軟的積極防御計劃無疑是軟件廠商之間得以分享信息的絕對標準（gold standard）?！?/p>

Arkin表示，Adobe公司在成為MAPP計劃的會員之后，將會提供自己產品的安全信息，并將其稱之為“多一層防御（one more layer of defense）”。這些數據將會按微軟提供的模板進行格式化，所有在今秋成為MAPP會員的廠商都可以獲得這些信息。

如果想加入MAPP計劃，廠商必須能對至少1萬名用戶提供安全防御技術，如反病毒、入侵檢測系統和入侵防御系統等技術。

最新減災工具包（mitigation toolkit）

微軟正在發行一款全新的工具，名叫“增強的減災體驗工具包（Enhanced Mitigation Experience Toolkit）”，其目的是幫助IT專業人員對現有的應用程序使用安全減災技術。該工具可以免費獲取，在八月份就可供下載。

微軟的Forstrom表示，對仍在運行微軟老版本軟件的公司而言，這款自動工具將尤其有用。比如，使用IE6的Windows XP用戶在默認情況下會運行數據執行保護（DEP），但是堆噴射內存分配技術（heap spray allocation，免遭攻擊的內存減災技術）卻需要手動進行。不過，使用這一全新的自動工具之后，IT專業人員就可以更加容易的對現有應用程序進行安全減災。

Forstrom說：“IT專業人員無需再次進行編碼和編譯，只需擁有基礎設施就可以在進程中運行該工具?！? 

【編輯推薦】

1. 微軟將漏洞披露方式由負責調整為協調
2. 微軟警告：Windows XP的零日漏洞攻擊增加