Descripción general de los programas de recompensas por errores
Los programas de recompensas por errores son iniciativas esenciales adoptadas por numerosas empresas para mejorar la seguridad de su software. Estos programas motivan a las personas a identificar y reportar vulnerabilidades de seguridad a los respectivos proveedores de forma confidencial, lo que permite soluciones oportunas antes de que entidades maliciosas puedan explotarlas. Los participantes en estos programas, incluidos los investigadores de seguridad, reciben recompensas económicas por sus contribuciones, lo que incentiva la adopción de medidas proactivas en ciberseguridad.
Nuevas mejoras en el programa de recompensas. NET de Microsoft
Recientemente, Microsoft implementó actualizaciones significativas en su Programa de Recompensas. NET, lo que eleva el nivel de los informes de vulnerabilidades. La estructura de recompensas ahora comienza con la impresionante suma de $7, 000 y aumenta hasta la notable suma de $40, 000 para informes excepcionales. Cabe destacar que la recompensa más alta está reservada para quienes divulguen de forma privada vulnerabilidades críticas, en particular, vulnerabilidades de ejecución remota de código (RCE) o de elevación de privilegios (EoP), y proporcionen documentación completa.
Estructura detallada de recompensas
La siguiente tabla describe los distintos niveles de recompensa según el impacto en la seguridad y la calidad del informe enviado:
| Impacto en la seguridad | Calidad del informe | Crítico | Importante |
|---|---|---|---|
| Ejecución remota de código | Completo | $40, 000 | $30, 000 |
| No completo | $20, 000 | $20, 000 | |
| Elevación de privilegios | Completo | $40, 000 | $10, 000 |
| No completo | $20, 000 | $4, 000 | |
| Omisión de funciones de seguridad | Completo | $30, 000 | $10, 000 |
| No completo | $20, 000 | $4, 000 | |
| Denegación de servicio remota | Completo | $20, 000 | $10, 000 |
| No completo | $15, 000 | $4, 000 | |
| Suplantación o manipulación | Completo | $10, 000 | $5, 000 |
| No completo | $7, 000 | $3, 000 | |
| Divulgación de información | Completo | $10, 000 | $5, 000 |
| No completo | $7, 000 | $3, 000 | |
| Documentación insegura | Completo | $10, 000 | $5, 000 |
| No completo | $7, 000 | $3, 000 |
Alcance del Programa de Recompensas. NET
El programa se centra principalmente en las vulnerabilidades de seguridad de. NET Framework y ASP. NET Core, incluyendo tecnologías como Blazor y Aspire. Actualizaciones recientes han ampliado el alcance para abarcar todas las versiones compatibles de. NET, ASP. NET y ASP. NET Core que operan en. NET Framework, las plantillas asociadas, las Acciones de GitHub en repositorios relevantes y también tecnologías adyacentes como F#.
Conclusión
El sistema de recompensas renovado busca reforzar la importancia de las vulnerabilidades de alto impacto al vincularlas con recompensas monetarias adecuadas. También aclara qué constituye un informe «completo», garantizando la transparencia y fomentando presentaciones más exhaustivas. Para obtener más información sobre esta interesante actualización, visite la entrada del blog de Microsoft.
Artículos relacionados:
Grounded 2 presenta un entorno de prueba para que los jugadores exploren las próximas funciones de acceso anticipado.
11:56
Windows 365 Boot presenta nuevas y emocionantes funciones
7:09
Nuevo mensaje del creador del kit de herramientas anti-Microsoft para PC con Windows 11 no compatible
7:08
Deja una respuesta