バグバウンティプログラムの概要
バグバウンティプログラムは、多くの企業がソフトウェアセキュリティを強化するために導入している重要な取り組みです。これらのプログラムは、個人がセキュリティ上の脆弱性を特定し、各ベンダーに秘密裏に報告することを促し、悪意のある組織に悪用される前にタイムリーな修正を可能にします。セキュリティ研究者を含むこれらのプログラムの参加者は、貢献に対して金銭的な報酬を受け取ることができ、サイバーセキュリティにおける積極的な対策を奨励しています。
Microsoft の. NET 報奨金プログラムの新たな強化
最近、Microsoftは. NETバウンティプログラムに大幅なアップデートを行い、脆弱性報告の分野における報酬水準を引き上げました。報奨金は7, 000ドルから始まり、優れた報告であれば40, 000ドルという高額な報酬が支払われます。特筆すべきは、重大な脆弱性、具体的にはリモートコード実行(RCE)または権限昇格(EoP)の脆弱性を非公開で開示し、かつ包括的なドキュメントを提供した報告者に最高額が支払われることです。
詳細な報酬構造
次の表は、セキュリティへの影響と提出されたレポートの品質に基づいたさまざまな報酬レベルの概要を示しています。
| セキュリティへの影響 | レポートの品質 | 致命的 | 重要 |
|---|---|---|---|
| リモートコード実行 | 完了 | 4万ドル | 3万ドル |
| 未完了 | 2万ドル | 2万ドル | |
| 特権の昇格 | 完了 | 4万ドル | 1万ドル |
| 未完了 | 2万ドル | 4, 000ドル | |
| セキュリティ機能のバイパス | 完了 | 3万ドル | 1万ドル |
| 未完了 | 2万ドル | 4, 000ドル | |
| リモートサービス拒否 | 完了 | 2万ドル | 1万ドル |
| 未完了 | 1万5000ドル | 4, 000ドル | |
| なりすましや改ざん | 完了 | 1万ドル | 5, 000ドル |
| 未完了 | 7, 000ドル | 3, 000ドル | |
| 情報開示 | 完了 | 1万ドル | 5, 000ドル |
| 未完了 | 7, 000ドル | 3, 000ドル | |
| 安全でないドキュメント | 完了 | 1万ドル | 5, 000ドル |
| 未完了 | 7, 000ドル | 3, 000ドル |
.NETバウンティプログラムの範囲
このプログラムは主に、BlazorやAspireなどのテクノロジーを含む、.NET FrameworkとASP. NET Coreのセキュリティ脆弱性に焦点を当てています。最近のアップデートにより、対象範囲が拡大され、.NET Framework上で動作する. NET、ASP. NET、ASP. NET Coreのすべてのサポート対象バージョン、関連テンプレート、関連リポジトリ内のGitHub Actions、そしてF#などの関連テクノロジーも対象となりました。
結論
刷新された報奨制度は、影響度の高い脆弱性に適切な金銭的報奨を結び付けることで、その重要性を強化することを目的としています。また、「完全な」報告とは何かを明確にすることで透明性を確保し、より包括的な報告を促します。この画期的なアップデートに関する詳細は、Microsoftの専用ブログ投稿をご覧ください。
コメントを残す