不要指望微軟會(huì)給那些披露其公司產(chǎn)品漏洞的安全人員發(fā)放什么獎(jiǎng)金。

微軟可信盤算部的總監(jiān)Dave Forstrom在接收SearchSecurity.com的采訪時(shí)表現(xiàn)，由谷歌和Mozilla建立的軟件錯(cuò)誤回購(gòu)打算（bug buyback programs）和微軟針對(duì)漏洞研究的策略是相違背的。Forstrom還表現(xiàn)，這種打算未能使得漏洞的處理過程透明化，最終對(duì)微軟的用戶也起不到什么幫助。

一般而言，谷歌會(huì)對(duì)那些發(fā)明Chrome瀏覽器漏洞的研究人員支付最多3133美元的費(fèi)用。Mozilla的這一數(shù)字則為3000美元，不過針對(duì)的是Firefox瀏覽器的漏洞。

Forstom說：“我們認(rèn)為，為每個(gè)漏洞支付必定的獎(jiǎng)金并不能滿足微軟用戶的最大利益，還有多種其他的道路可以讓我們同安全研究人員開展合作，從而更好的服務(wù)于安全社區(qū)。比如說，微軟可以通過承認(rèn)研究人員的共同努力、援助各種安全會(huì)議，從而使得安全社區(qū)不斷向前發(fā)展�！�

上周，微軟發(fā)布將轉(zhuǎn)變自己現(xiàn)有的策略，立即在安全業(yè)界掀起了波濤，這也是這家軟件巨頭盼望見到的事情。微軟把“負(fù)義務(wù)”這一字眼從自己的漏洞披露策略中拿掉了，并把自己的軟件缺點(diǎn)報(bào)告打算（flaw-reporting program）更名為“協(xié)作的漏洞披露（coordinated vulnerability disclosure）”，這勢(shì)必會(huì)轉(zhuǎn)變?nèi)藗冴P(guān)于漏洞披露的爭(zhēng)辯。

這項(xiàng)聲明得到了來自安全社區(qū)各種各樣的反應(yīng)。一些人認(rèn)為去掉“負(fù)義務(wù)”這一詞匯將轉(zhuǎn)變安全研究人員和軟件商之間長(zhǎng)期對(duì)峙的局面，但對(duì)安全人員報(bào)告軟件漏洞的方法并沒有多大變更。

Forstrom目前正在參加本周舉辦的2010年度黑帽大會(huì)。他表現(xiàn)，漏洞披露是一個(gè)正在進(jìn)行的話題，并不是只有微軟一家公司在進(jìn)行爭(zhēng)辯。Forstrom說，“之所以要進(jìn)行協(xié)作配合，其目標(biāo)為了最大限度的滿足用戶的利益，并下降風(fēng)險(xiǎn)，不使之?dāng)U大�！�

Adobe和微軟在積極防御打算上開展合作

微軟在2010年度黑帽大會(huì)上還發(fā)表了一項(xiàng)新的合作打算聲明，微軟信任這勢(shì)必會(huì)加強(qiáng)自己的積極防御打算（Active Protections Program，MAPP）。

Adobe系統(tǒng)公司已在MAPP打算的框架內(nèi)同微軟展開合作，以便在微軟發(fā)布漏洞補(bǔ)丁之前，提前得到詳細(xì)的漏洞技巧材料。目前，已有65家安全廠商參加了該打算，這使得他們可認(rèn)為自己的用戶開發(fā)數(shù)字簽名，并對(duì)漏洞攻擊代碼（exploit）進(jìn)行檢測(cè)。

Adobe公司負(fù)責(zé)產(chǎn)品安全和隱私的高級(jí)總監(jiān)Brad Arkin表現(xiàn)，MAPP打算就像是專為Adobe而設(shè)計(jì)的一樣，它能增加公司的透明度并減少攻擊窗口期（attack window，即從漏洞發(fā)布到Adobe發(fā)布官方補(bǔ)丁之間的時(shí)間）。

Arkin說，“我們可以從安全廠商那里源源不斷的獲得反饋，微軟的積極防御打算無疑是軟件廠商之間得以分享信息的絕對(duì)標(biāo)準(zhǔn)（gold standard）�！�

Arkin表現(xiàn)，Adobe公司在成為MAPP打算的會(huì)員之后，將會(huì)供給自己產(chǎn)品的安全信息，并將其稱之為“多一層防御（one more layer of defense）”。這些數(shù)據(jù)將會(huì)按微軟供給的模板進(jìn)行格式化，所有在今秋成為MAPP會(huì)員的廠商都可以獲得這些信息。

如果想?yún)⒓覯APP打算，廠商必須能對(duì)至少1萬(wàn)名用戶供給安全防御技巧，如反病毒、入侵檢測(cè)系統(tǒng)和入侵防御系統(tǒng)等技巧。

最新減災(zāi)工具包（mitigation toolkit）

微軟正在發(fā)行一款全新的工具，名叫“加強(qiáng)的減災(zāi)體驗(yàn)工具包（Enhanced Mitigation Experience Toolkit）”，其目標(biāo)是幫助IT專業(yè)人員對(duì)現(xiàn)有的利用程序應(yīng)用安全減災(zāi)技巧。該工具可以免費(fèi)獲取，在八月份就可供下載。

微軟的Forstrom表現(xiàn)，對(duì)仍在運(yùn)行微軟老版本軟件的公司而言，這款主動(dòng)工具將尤其有用。比如，應(yīng)用IE6的Windows XP用戶在默認(rèn)情況下會(huì)運(yùn)行數(shù)據(jù)履行保護(hù)（DEP），但是堆噴射內(nèi)存分配技巧（heap spray allocation，免遭攻擊的內(nèi)存減災(zāi)技巧）卻需要手動(dòng)進(jìn)行。不過，應(yīng)用這一全新的主動(dòng)工具之后，IT專業(yè)人員就可以更加容易的對(duì)現(xiàn)有利用程序進(jìn)行安全減災(zāi)。