Microsoft offre fino a 40.000 dollari per la segnalazione di vulnerabilità .NET

Microsoft offre fino a 40.000 dollari per la segnalazione di vulnerabilità .NET
Crediti immagine: Microsoft

Panoramica dei programmi Bug Bounty

I programmi di bug bounty sono iniziative essenziali adottate da numerose aziende per migliorare la sicurezza del proprio software. Questi programmi incoraggiano i singoli individui a identificare e segnalare in modo confidenziale le vulnerabilità di sicurezza ai rispettivi fornitori, consentendo di intervenire tempestivamente prima che queste debolezze possano essere sfruttate da malintenzionati. I partecipanti a questi programmi, inclusi i ricercatori di sicurezza, vengono ricompensati finanziariamente per il loro contributo, incentivando l’adozione di misure proattive in materia di sicurezza informatica.

Nuovi miglioramenti al programma. NET Bounty di Microsoft

Di recente, Microsoft ha apportato importanti aggiornamenti al suo. NET Bounty Program, aumentando la posta in gioco nel campo della segnalazione delle vulnerabilità. Il sistema di ricompensa ora parte da un’impressionante cifra di 7.000 dollari, per arrivare a ben 40.000 dollari per segnalazioni eccezionali. In particolare, la ricompensa più alta è riservata a coloro che divulgano privatamente vulnerabilità critiche, in particolare vulnerabilità di esecuzione di codice remoto (RCE) o di elevazione dei privilegi (EoP), fornendo al contempo una documentazione completa.

Struttura dettagliata delle ricompense

La tabella seguente descrive i vari livelli di ricompensa in base all’impatto sulla sicurezza e alla qualità del rapporto inviato:

Impatto sulla sicurezza Qualità del rapporto Critico Importante
Esecuzione di codice remoto Completare $40.000 $30.000
Non completo $20.000 $20.000
Elevazione dei privilegi Completare $40.000 $ 10.000
Non completo $20.000 $4.000
Bypass delle funzionalità di sicurezza Completare $30.000 $ 10.000
Non completo $20.000 $4.000
Negazione del servizio remota Completare $20.000 $ 10.000
Non completo $ 15.000 $4.000
Spoofing o manomissione Completare $ 10.000 $5.000
Non completo $7.000 $3.000
Divulgazione delle informazioni Completare $ 10.000 $5.000
Non completo $7.000 $3.000
Documentazione non sicura Completare $ 10.000 $5.000
Non completo $7.000 $3.000

Ambito del programma. NET Bounty

Il programma si concentra principalmente sulle vulnerabilità di sicurezza all’interno del framework. NET e di ASP. NET Core, incluse tecnologie come Blazor e Aspire. I recenti aggiornamenti hanno ampliato l’ambito di applicazione per includere tutte le versioni supportate di. NET, ASP. NET e ASP. NET Core che operano sul framework. NET, i template associati, le GitHub Actions nei repository pertinenti e anche tecnologie adiacenti come F#.

Conclusione

Il sistema di premi rinnovato mira a rafforzare l’importanza delle vulnerabilità ad alto impatto, associandole a ricompense monetarie appropriate. Chiarisce inoltre cosa si intende per report “completo”, garantendo trasparenza e incoraggiando invii più completi. Per ulteriori informazioni su questo entusiasmante aggiornamento, visita il post dedicato sul blog di Microsoft.

Fonte e immagini

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *