本周,微软在sla.ckers.org网站上留下公告,号召第三方的技术人员在发现其软件产品中的漏洞时,不要对外宣扬,先将漏洞消息发送到微软雷德蒙总部。
该公告所指漏洞包括微软所有的在线网络:microsoft.com、msn.com及live.com,这也是微软一向坚持的“负责的举报”,技术人员发现漏洞,应先通知相关厂商。
然而,微软公司收到的第一份来自黒客的邮件却是建议其为漏洞信息举报买单。
微软在Sla.ckers.org网站上刚发了公告,署名为digi7al64的黑客就回复到:
“我建议,微软应该建立奖励机制,为举报人提供奖金。这样才会调动起技术人员的热情。
相对而言,有偿举报也并不会花去微软很多钱。而且这笔钱对于微软来说,实在是小巫见大巫。
从另一个方面讲,技术人员举报的安全漏洞绝对是很有价值的,厂商可以借机改进自己的产品。可惜的是,微软目前并不愿意为这些有价值的举报买单。”
IDefense的“漏洞贡献者计划”和3Com的“零时差计划”,都为白帽黒客(即安全分析师)提供了一个举报漏洞,并从中赚钱的机会。但微软公司会不会也为这些举报者付给报酬,还是未知数。