【IT168 资讯】最近微软官网放出消息，明码标价征集Windows 8.1和IE11的漏洞。据称，如果有黑客找到攻破Windows 8.1保护机制的新漏洞，可以获得最高10万美元的“减轻绕开奖金”；如果能提供有效的防御措施，还可以再获5万美元的“bluehat防御奖金”。因此针对单个漏洞的奖金总额最高达到15万美元。此外，微软还提供了“IE11预览版漏洞奖金”，在有效期内（6.26-7.25）每个有效漏洞奖1.1万美元。

　　微软漏洞奖励计划刚公布，立刻成为安全圈内最火热的话题。“要知道微软可是坚持了好多年决不为漏洞付钱的策略。估计是在以Google为代表的厂商、ZDI为代表的第三方、Vupen为代表的攻击方这三方收购的夹击下终于熬不住了”，业内人士分析说。

　　其实漏洞悬赏并非什么新鲜事儿，国外国内有很多厂家都这么做。最知名的，谷歌数年前就推出了漏洞奖励计划，Facebook、PayPal、Mozilla等都已经有自己成熟的漏洞报告奖励机制，Facebook甚至向一批“白帽子”黑客直接发放了Visa借记卡，方便为漏洞付费。

　　在国内，唯一为漏洞奖励现金的是360，时间在2012年5月份。360安全漏洞响应平台的规则是，发现客户端软件漏洞奖现金，发现网站漏洞奖励礼品（高危漏洞也有现金奖励）。其他知名互联网公司中，腾讯、网易、人人、京东也都推出各自的漏洞奖励计划，不过均是以积分换礼品的方式进行奖励。

　　那么，各大厂商的漏洞分别值多少钱，这些厂商在漏洞响应方面的投入又有多少呢？根据媒体报道和厂商官网，笔者搜集到了谷歌、腾讯和360的漏洞悬赏情况。

　　谷歌：谷歌在SyScan国际安全峰会上宣布，2012年奖励漏洞提交者的奖金为70万美元，但遗憾的是并未给出具体的漏洞数量，因此无法计算平均漏洞价值。谷歌2012年的营收据媒体报道约为502亿美元，漏洞奖金/营收=0.139/万。

　　腾讯：据腾讯官网发布的《2012年度腾讯“漏洞奖励计划”工作报告》显示，2012年间腾讯 “TSRC”共处理了外部反馈的 2288个安全漏洞，腾讯公司为漏洞报告者提供的奖品（如Q币、公仔、数码产品等），加上邮寄费、奖品个税、人工成本的投入达30万元人民币，平均每个漏洞奖励131元；如果去掉邮寄费等，平均每个漏洞奖金至少需要减半，大约为65元人民币。腾讯2012年营收约71亿美元，漏洞奖金/营收=0.034/万。

　　360：按照360官网的漏洞公告，该公司从去年5月到12月共收集漏洞约30个，支付奖金5万元人民币和U盘、鼠标键盘等礼品，平均每个漏洞约1667元人民币。根据360公司2012年财报营收约3.2亿美元计算，在其漏洞奖励计划推出后（约2亿美元），漏洞奖金/营收=0.397/万。

　　可以看出，谷歌迄今为止支付的漏洞奖金是最多的，可是单个漏洞最高奖金不如微软给力。在国内，360作为安全厂商，对漏洞响应也更加重视，投入与自身营收的比例最高。相比起来，产品线更丰富的腾讯以公仔、Q币等礼品作为奖励，一年补上2288个漏洞，多而便宜，也是加强其业务安全性的有效措施。