向微软报告漏洞时会发生什么
在微软安全响应中心(MSRC),我们的使命是保护客户、社区和微软免受当前和新兴的安全与隐私威胁。实现这一目标的方式之一是与安全研究人员合作,识别和修复我们服务和产品中可能对客户构成威胁的安全漏洞。许多研究人员向许多不同的公司报告这类问题,而这些公司管理接收、评估和修复这些问题的流程可能差异很大。我们想分享我们的流程如何运作,当您向微软报告安全漏洞时,您可以做些什么来帮助我们加快您的提交过程,以及之后会发生什么。
在提交报告之前,请检查您报告的问题是否符合安全漏洞的定义。一旦确认您的提交符合微软的安全服务定义,请访问我们的研究人员门户并登录以报告它。如果您还没有账户,您将有机会在此时创建一个。
使用我们的门户为研究人员和MSRC之间的快速、轻松协作提供了最佳体验。研究人员门户为您提供了一种安全和指导性的方式,以提供必要的信息,使我们能够快速重现问题、响应您的报告,并最终修复可能造成威胁的漏洞。该门户还将帮助指导您撰写完整和高质量的报告。高质量的报告将帮助我们为您提供最快的响应,并可能帮助您获得更高的漏洞奖励。
如果您发现了多个安全漏洞,请为每个问题创建单独的提交。这将帮助我们为每个报告提供更快的响应和解决方案。
以下是您提交漏洞后可能发生的情况:
分类(Triage):我们的团队将检查您的报告是否为安全漏洞,然后将其分配给相关的产品工程团队。这通常需要最多两个美国工作日。如果您选择了自动通信,当案例被关闭为不可服务或需要进一步评估时,您将收到来自我们分类团队的消息。在此过程中,您的提交将在门户中标记为“新建(New)”。
案例分配(Case Assignment):如果您报告的安全漏洞符合我们的服务标准,它将被分配一个案例编号和案例经理。您的案例经理将监督案例评估、制定解决漏洞的计划,并回答您在此过程中可能有的任何问题。
审查/重现(Review/Reproduce):我们的团队将尝试重现报告的问题,并评估严重性和安全影响。在此过程中,您的提交将在门户中标记为“审查/重现(Review/Repro)”。这项工作可能需要几天到两周的时间,具体取决于您在报告中提供的细节和问题的复杂性。我们感谢所有报告,并努力根据提供的信息重现每个问题。然而,在某些情况下,如果没有额外信息,我们无法继续调查和解决问题。在这种情况下,案例经理可能会联系您请求更多细节。我们恳请您在三个美国工作日内回复,以确保我们能够为您和微软客户提供尽可能快的案例修复。
如果您的案例被评估为重要或严重严重性,我们将将其发送给适当的产品工程团队进行修复。如果被评估为低或中等严重性、设计问题,或我们决定不修复的问题,您的案例将不会进入开发阶段。相反,您的案例经理将联系您告知您这一决定,您的案例将被关闭。在此阶段关闭后,其状态将在门户中显示为“完成(Complete)”。此场景中的“完成”状态并不表示报告的漏洞已被修复。
开发修复(Developing a fix):此阶段通常耗时最长,因为我们准备修复并与发布团队协调。处于此状态的报告在研究人员门户中标记为“开发(Develop)”。我们的案例经理在此阶段与产品工程团队保持定期联系,并在出现异常延迟时更新您。然而,此阶段的更新通常较少。如果您在此期间有任何关于披露的问题,请联系指定的案例经理。
漏洞奖励审查(Bug Bounty Review):现在案例评估已完成,微软漏洞奖励团队将审查您的提交以确定奖励资格。如果您的提交符合漏洞奖励资格,您将收到一封电子邮件通知您这个好消息!如果这是您从微软奖励计划获得的第一个奖励,您需要与我们的支付提供商之一设置账户以接收您的奖励。我们将在奖励电子邮件中发送如何执行此操作的说明。请参阅微软奖励计划常见问题解答以获取更多信息。
预发布流程(Pre-Release Process):处于“发布(Release)”状态的案例正在准备发布。有时这意味着它们正在等待作为我们每月补丁星期二发布或其他服务更新的一部分正式发布。一旦您的提交达到此状态,案例经理将通知您修复已报告,并验证您的确认信息。
完成(Complete):处于“完成(Complete)”状态的案例已关闭,包括我们决定不修复的问题或已修复的案例。如果案例已修复并发布给客户,案例经理将再次通知您,确认漏洞已修复且案例已关闭。恭喜!您现在可以自由公开讨论您的发现(如果您愿意)。我们还将研究人员致谢页面上为您的作品给予认可(除非您另有告知)。
在上述任何阶段,我们可能得出结论认为您的案例不值得立即服务。在这种情况下,您的案例经理将联系您告知您这一决定,您的提交将在未来软件版本的开发过程中予以考虑。
下表阐明了研究人员门户中每个状态对您的提交意味着什么。在整个过程中,如果我们有任何问题或需要更多细节,我们将与您联系。如果您在任何时候对您的报告有疑问或有更多信息要提供,请回复来自您案例经理的最新电子邮件消息。我们将努力在三个美国工作日内回复您。
| 研究人员门户状态 | 正在发生什么 |
|---|---|
| 新建(New) | 我们正在对您的提交进行分类。您将在分类完成后收到一封带有分类结果的电子邮件,通常在两美国工作日内。如果我们确定您的提交符合我们的服务标准,您的提交将被分配一个MSRC案例编号和案例经理。您的案例经理将监督其评估和制定解决漏洞的计划,并回答您在此过程中可能有的任何问题。 |
| 审查/重现(Review/Repro) | 我们正在努力重现您的案例并评估其严重性和安全影响。此阶段可能需要长达两周的时间,具体取决于您提交中分享的细节和问题的复杂性。如果我们需要任何额外细节来理解和成功重现问题,您的案例经理可能会联系您。我们请求您在三个美国工作日内回复问题,我们将努力做到同样。 |
| 审查/重现 - 重复(Review/Repro - Duplicate) | 我们正在努力重现和评估您的案例。我们的团队还确定您的案例需要与我们正在处理的另一个案例相同的修复。您将继续收到提交进展的更新。 |
| 开发(Develop) | 我们已完成对您案例的评估,并将其发送给工程团队进行评估和潜在修复。 |
| 开发 - 重复(Develop - Duplicate) | 我们已完成对您案例的评估,并将其发送给工程团队进行评估和潜在修复。此外,我们的团队决定您的提交需要与我们正在处理的另一个案例相同的修复。 |
| 预发布(Pre-Release) | 工程团队正在完成您案例的修复,并为其设定了目标发布日期。如果您希望对与即将发布的CVE或在线服务确认相关的确认信息进行任何更改,请通知您的案例经理。 |
| 预发布 - 重复(Pre-Release - Duplicate) | 我们正在完成您案例的修复工作,并为您案例的修复设定了目标发布日期。即使您的提交需要与我们正在处理的另一个案例相同的修复,您仍将在问题修复时收到公开感谢和认可。 |
| 完成(Complete) | 您的案例已解决,您将收到来自案例经理的带有解决细节的电子邮件。 |
| 完成 - 重复(Complete - Duplicate) | 您的案例已解决,您将收到来自案例经理的带有解决细节的电子邮件。您案例的修复与另一个案例相同。 |
| 完成 - 不适用(Complete - NA) | 此提交不符合MSRC的服务标准,我们已关闭您的案例。您将收到带有案例细节的电子邮件。 |
希望这篇博客文章帮助您了解如何加快您的提交通过我们的流程,如何最大化您的研究人员声誉分数和任何适用的奖励,给您一些关于我们流程如何运作的见解,以及在我们分类、重现、开发和发布任何修复时您可以期待什么。如果您有其他问题,请访问我们的常见问题解答(FAQ)页面。