微软.NET Core与ASP.NET Core漏洞赏金计划扩展

微软宣布扩展其漏洞赏金计划,新增对.NET Core和ASP.NET Core的覆盖,涵盖Windows和Linux版本,奖励金额从500到15000美元,旨在鼓励安全研究人员发现和报告关键漏洞。

微软赏金计划的扩展 – Microsoft .NET Core 以及 ASP.NET Core 相关的赏金计划

本文章是 Microsoft Security Response Center 博客 “Announcing a Microsoft .NET Core and ASP.NET Core Bug Bounty”(2016 年 9 月 1 日美国时间发布)的翻译版本。

今天,我们很高兴地宣布扩展微软的赏金计划。我们将.NET Core 和 ASP.NET Core 添加到当前正在进行的赏金计划中。从 2016 年 9 月 1 日起,我们将启动针对 Windows 和 Linux 版本的 .NET Core 和 ASP.NET Core 的赏金计划。计划的重点如下:

  • 微软将对 Microsoft .NET Core 和 ASP.NET Core 的最新 RTM 版本,或最新版本的 .NET Core 和 ASP.NET Core 支持的 Beta 或 RC 版本中被评为“紧急”和“重要”的漏洞支付赏金。
  • 包括 ASP.NET Web Tools Extension for Visual Studio 2015 及更高版本中提供的默认 ASP.NET Core 模板的漏洞。
  • 微软的新 Web 服务器 Kestrel 也包括在内。
  • 支持的平台是 Windows 和 Linux 版本的 .NET Core 和 ASP.NET Core。
  • 为了获得赏金,必须在最新的 RTM 版本或当前 RTM 版本之后支持的 Beta 或 RC 版本上提交并重现漏洞。
  • 报告的质量越高,赏金金额越高。
  • 赏金计划的实施期限从 2016 年 9 月 1 日开始,无固定结束日期(可能由微软决定终止)。
  • 赏金金额范围从 500 美元到 15,000 美元。

当前的 RTM 版本及后续的 Beta 版本可以从 https://dot.net/ 安装。这个新的赏金计划是对当前正在进行的 Microsoft Edge 远程代码执行(RCE)赏金计划、Online Services 赏金计划以及 Mitigation bypass and Bounty for Defense 赏金计划的补充。这些扩展是微软严格安全计划的一部分。赏金计划是对微软安全开发生命周期(SDL)、运营安全保证(OSA)框架、对微软产品和服务的定期渗透测试以及第三方审计的安全和合规认证的补充。

有关微软赏金计划的最新信息,请参阅此网站及相关条款和常见问题解答。

Happy hacking!

Jason Shirk, Akira Srinivasan

报告时的注意事项

如果您参加微软的赏金计划,所有漏洞报告必须按照此指南直接提交到美国的 secure@microsoft.com。如果英语报告有困难,可以同时使用日语。这在赏金获奖者选择中,从公平性的角度来看非常重要。我们期待您的参与!

相关信息

  • 关于微软赏金计划:Microsoft Bounty Programs(英文信息)
  • 本次扩展的计划:Announcing a Microsoft .NET Core and ASP.NET Core Bug Bounty(英文信息)
  • 漏洞报告窗口“请提供漏洞相关信息”:如果您不参加赏金计划,并希望用日语报告漏洞,请从此处提交。
comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次