漏洞賞金計畫概述
漏洞賞金計畫是眾多公司為增強軟體安全性所採取的重要措施。這些計劃鼓勵個人識別安全漏洞並以保密的方式向相關供應商報告,以便在這些漏洞被惡意實體利用之前及時修復。包括安全研究人員在內的這些計劃的參與者將因其貢獻而獲得經濟獎勵,激勵他們採取主動的網路安全措施。
微軟. NET 賞金計畫的最新改進
近期,微軟對其. NET賞金計畫進行了重大更新,提高了漏洞報告領域的獎勵標準。獎勵金額現已從令人印象深刻的7, 000美元起,對於優秀的漏洞報告者,獎勵將進一步提升至40, 000美元。值得一提的是,最高獎勵將授予那些私下披露嚴重漏洞(特別是遠端程式碼執行 (RCE) 或特權提升 (EoP) 漏洞)並提供完整文件的人員。
詳細的獎勵結構
下表根據安全影響和提交報告的品質概述了各種獎勵等級:
| 安全影響 | 報告品質 | 批判的 | 重要的 |
|---|---|---|---|
| 遠端程式碼執行 | 完全的 | 4萬美元 | 3萬美元 |
| 未完成 | 2萬美元 | 2萬美元 | |
| 權限提升 | 完全的 | 4萬美元 | 10, 000美元 |
| 未完成 | 2萬美元 | 4, 000美元 | |
| 安全功能繞過 | 完全的 | 3萬美元 | 10, 000美元 |
| 未完成 | 2萬美元 | 4, 000美元 | |
| 遠端拒絕服務 | 完全的 | 2萬美元 | 10, 000美元 |
| 未完成 | 15, 000美元 | 4, 000美元 | |
| 欺騙或篡改 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 | |
| 資訊揭露 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 | |
| 不安全的文檔 | 完全的 | 10, 000美元 | 5, 000 美元 |
| 未完成 | 7, 000美元 | 3, 000 美元 |
.NET 賞金計畫的範圍
該計劃主要關注. NET 框架和 ASP. NET Core 中的安全漏洞,包括 Blazor 和 Aspire 等技術。最近的更新擴展了範圍,涵蓋所有支援的. NET、ASP. NET、在. NET 框架上執行的 ASP. NET Core 版本、相關範本、相關儲存庫中的 GitHub Actions,以及 F# 等相關技術。
結論
改進後的獎勵系統旨在透過將高影響漏洞與相應的金錢獎勵掛鉤,來強化其重要性。此外,它還明確了「完整」報告的組成要素,確保了透明度,並鼓勵更全面的報告提交。如需了解更多關於此令人興奮的更新的信息,請訪問 Microsoft 的專門部落格文章。
發佈留言