漏洞赏金计划概述
漏洞赏金计划是众多公司为增强软件安全性而采取的重要举措。这些计划鼓励个人识别安全漏洞并以保密的方式向相关供应商报告,以便在这些漏洞被恶意实体利用之前及时修复。包括安全研究人员在内的这些计划的参与者将因其贡献而获得经济奖励,从而激励他们采取主动的网络安全措施。
微软. NET 赏金计划的最新改进
近期,微软对其. NET赏金计划进行了重大更新,提高了漏洞报告领域的奖励标准。奖励金额现已从令人印象深刻的7, 000美元起,对于优秀的漏洞报告者,奖励将进一步提升至40, 000美元。值得一提的是,最高奖励将授予那些私下披露严重漏洞(特别是远程代码执行 (RCE) 或特权提升 (EoP) 漏洞)并提供完整文档的人员。
详细的奖励结构
下表根据安全影响和提交报告的质量概述了各种奖励等级:
| 安全影响 | 报告质量 | 批判的 | 重要的 |
|---|---|---|---|
| 远程代码执行 | 完全的 | 4万美元 | 3万美元 |
| 未完成 | 2万美元 | 2万美元 | |
| 权限提升 | 完全的 | 4万美元 | 10, 000美元 |
| 未完成 | 2万美元 | 4, 000美元 | |
| 安全功能绕过 | 完全的 | 3万美元 | 10, 000美元 |
| 未完成 | 2万美元 | 4, 000美元 | |
| 远程拒绝服务 | 完全的 | 2万美元 | 10, 000美元 |
| 未完成 | 15, 000美元 | 4, 000美元 | |
| 欺骗或篡改 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 | |
| 信息披露 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 | |
| 不安全的文档 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 |
.NET 赏金计划的范围
该计划主要关注. NET 框架和 ASP. NET Core 中的安全漏洞,包括 Blazor 和 Aspire 等技术。最近的更新扩展了范围,涵盖所有受支持的. NET、ASP. NET、在. NET 框架上运行的 ASP. NET Core 版本、相关模板、相关存储库中的 GitHub Actions,以及 F# 等相关技术。
结论
改进后的奖励系统旨在通过将高影响漏洞与相应的金钱奖励挂钩,来强化其重要性。此外,它还明确了“完整”报告的构成要素,确保了透明度,并鼓励更全面的报告提交。如需了解更多关于此次激动人心的更新的信息,请访问 Microsoft 的专门博客文章。
发表回复