不要指望微軟會給那些披露其公司產(chǎn)品漏洞的安全人員發(fā)放什么獎金。

微軟可信盤算部的總監(jiān)Dave Forstrom在接收SearchSecurity.com的采訪時表現(xiàn)，由谷歌和Mozilla建立的軟件錯誤回購打算（bug buyback programs）和微軟針對漏洞研究的策略是相違背的。Forstrom還表現(xiàn)，這種打算未能使得漏洞的處理過程透明化，最終對微軟的用戶也起不到什么幫助。

一般而言，谷歌會對那些發(fā)明Chrome瀏覽器漏洞的研究人員支付最多3133美元的費用。Mozilla的這一數(shù)字則為3000美元，不過針對的是Firefox瀏覽器的漏洞。

Forstom說：“我們認為，為每個漏洞支付必定的獎金并不能滿足微軟用戶的最大利益，還有多種其他的道路可以讓我們同安全研究人員開展合作，從而更好的服務(wù)于安全社區(qū)。比如說，微軟可以通過承認研究人員的共同努力、援助各種安全會議，從而使得安全社區(qū)不斷向前發(fā)展。”

上周，微軟發(fā)布將轉(zhuǎn)變自己現(xiàn)有的策略，立即在安全業(yè)界掀起了波濤，這也是這家軟件巨頭盼望見到的事情。微軟把“負義務(wù)”這一字眼從自己的漏洞披露策略中拿掉了，并把自己的軟件缺點報告打算（flaw-reporting program）更名為“協(xié)作的漏洞披露（coordinated vulnerability disclosure）”，這勢必會轉(zhuǎn)變?nèi)藗冴P(guān)于漏洞披露的爭辯。

這項聲明得到了來自安全社區(qū)各種各樣的反應(yīng)。一些人認為去掉“負義務(wù)”這一詞匯將轉(zhuǎn)變安全研究人員和軟件商之間長期對峙的局面，但對安全人員報告軟件漏洞的方法并沒有多大變更。

Forstrom目前正在參加本周舉辦的2010年度黑帽大會。他表現(xiàn)，漏洞披露是一個正在進行的話題，并不是只有微軟一家公司在進行爭辯。Forstrom說，“之所以要進行協(xié)作配合，其目標為了最大限度的滿足用戶的利益，并下降風(fēng)險，不使之?dāng)U大�！�

Adobe和微軟在積極防御打算上開展合作

微軟在2010年度黑帽大會上還發(fā)表了一項新的合作打算聲明，微軟信任這勢必會加強自己的積極防御打算（Active Protections Program，MAPP）。

Adobe系統(tǒng)公司已在MAPP打算的框架內(nèi)同微軟展開合作，以便在微軟發(fā)布漏洞補丁之前，提前得到詳細的漏洞技巧材料。目前，已有65家安全廠商參加了該打算，這使得他們可認為自己的用戶開發(fā)數(shù)字簽名，并對漏洞攻擊代碼（exploit）進行檢測。

Adobe公司負責(zé)產(chǎn)品安全和隱私的高級總監(jiān)Brad Arkin表現(xiàn)，MAPP打算就像是專為Adobe而設(shè)計的一樣，它能增加公司的透明度并減少攻擊窗口期（attack window，即從漏洞發(fā)布到Adobe發(fā)布官方補丁之間的時間）。

Arkin說，“我們可以從安全廠商那里源源不斷的獲得反饋，微軟的積極防御打算無疑是軟件廠商之間得以分享信息的絕對標準（gold standard）。”

Arkin表現(xiàn)，Adobe公司在成為MAPP打算的會員之后，將會供給自己產(chǎn)品的安全信息，并將其稱之為“多一層防御（one more layer of defense）”。這些數(shù)據(jù)將會按微軟供給的模板進行格式化，所有在今秋成為MAPP會員的廠商都可以獲得這些信息。

如果想?yún)⒓覯APP打算，廠商必須能對至少1萬名用戶供給安全防御技巧，如反病毒、入侵檢測系統(tǒng)和入侵防御系統(tǒng)等技巧。

最新減災(zāi)工具包（mitigation toolkit）

微軟正在發(fā)行一款全新的工具，名叫“加強的減災(zāi)體驗工具包（Enhanced Mitigation Experience Toolkit）”，其目標是幫助IT專業(yè)人員對現(xiàn)有的利用程序應(yīng)用安全減災(zāi)技巧。該工具可以免費獲取，在八月份就可供下載。

微軟的Forstrom表現(xiàn)，對仍在運行微軟老版本軟件的公司而言，這款主動工具將尤其有用。比如，應(yīng)用IE6的Windows XP用戶在默認情況下會運行數(shù)據(jù)履行保護（DEP），但是堆噴射內(nèi)存分配技巧（heap spray allocation，免遭攻擊的內(nèi)存減災(zāi)技巧）卻需要手動進行。不過，應(yīng)用這一全新的主動工具之后，IT專業(yè)人員就可以更加容易的對現(xiàn)有利用程序進行安全減災(zāi)。