버그 바운티 프로그램 개요
버그 바운티 프로그램은 수많은 기업이 소프트웨어 보안 강화를 위해 도입하는 필수적인 이니셔티브입니다.이 프로그램은 개인이 보안 취약점을 파악하고 해당 공급업체에 비밀리에 보고하도록 장려하여 악의적인 공격자가 취약점을 악용하기 전에 적시에 수정을 받을 수 있도록 합니다.보안 연구원을 포함한 이 프로그램 참여자는 기여에 대한 금전적 보상을 받으며, 사이버 보안에 대한 선제적 조치를 장려합니다.
Microsoft. NET Bounty 프로그램의 새로운 기능 향상
최근 마이크로소프트는. NET 바운티 프로그램을 대폭 업데이트하여 취약점 보고 분야의 수준을 높였습니다.보상금은 현재 7, 000달러라는 놀라운 금액부터 시작하여, 우수 보고자에게는 무려 40, 000달러까지 지급됩니다.특히, 가장 높은 보상금은 원격 코드 실행(RCE)이나 권한 상승(EoP) 취약점과 같은 심각한 취약점을 비공개로 공개하고 포괄적인 문서를 제공하는 사람에게 지급됩니다.
자세한 보상 구조
다음 표는 제출된 보고서의 품질과 보안 영향에 따라 다양한 보상 등급을 간략하게 설명합니다.
| 보안 영향 | 보고서 품질 | 비판적인 | 중요한 |
|---|---|---|---|
| 원격 코드 실행 | 완벽한 | 4만 달러 | 3만 달러 |
| 완료되지 않음 | 2만 달러 | 2만 달러 | |
| 특권 승격 | 완벽한 | 4만 달러 | 1만 달러 |
| 완료되지 않음 | 2만 달러 | 4, 000달러 | |
| 보안 기능 우회 | 완벽한 | 3만 달러 | 1만 달러 |
| 완료되지 않음 | 2만 달러 | 4, 000달러 | |
| 원격 서비스 거부 | 완벽한 | 2만 달러 | 1만 달러 |
| 완료되지 않음 | 15, 000달러 | 4, 000달러 | |
| 스푸핑 또는 변조 | 완벽한 | 1만 달러 | 5, 000달러 |
| 완료되지 않음 | 7, 000달러 | 3, 000달러 | |
| 정보 공개 | 완벽한 | 1만 달러 | 5, 000달러 |
| 완료되지 않음 | 7, 000달러 | 3, 000달러 | |
| 안전하지 않은 문서 | 완벽한 | 1만 달러 | 5, 000달러 |
| 완료되지 않음 | 7, 000달러 | 3, 000달러 |
.NET Bounty 프로그램의 범위
이 프로그램은 주로 Blazor 및 Aspire와 같은 기술을 포함하여. NET 프레임워크 및 ASP. NET Core의 보안 취약점에 중점을 둡니다.최근 업데이트를 통해. NET 프레임워크에서 운영되는 모든 지원되는. NET, ASP. NET, ASP. NET Core 버전, 관련 템플릿, 관련 저장소의 GitHub Actions, 그리고 F#과 같은 관련 기술까지 포함하도록 범위가 확장되었습니다.
결론
개편된 보상 시스템은 영향력이 큰 취약점에 적절한 금전적 보상을 연계하여 중요성을 강화하는 것을 목표로 합니다.또한 “완전한” 보고서의 기준을 명확히 하여 투명성을 보장하고 더욱 포괄적인 제출을 장려합니다.이 흥미로운 업데이트에 대한 자세한 내용은 Microsoft의 전용 블로그 게시물을 참조하세요.
답글 남기기