微軟為報告 .NET 漏洞提供高達 40,000 美元的獎勵

微軟為報告 .NET 漏洞提供高達 40,000 美元的獎勵
圖片來源:微軟

漏洞賞金計畫概述

漏洞賞金計畫是眾多公司為增強軟體安全性所採取的重要措施。這些計劃鼓勵個人識別安全漏洞並以保密的方式向相關供應商報告,以便在這些漏洞被惡意實體利用之前及時修復。包括安全研究人員在內的這些計劃的參與者將因其貢獻而獲得經濟獎勵,激勵他們採取主動的網路安全措施。

微軟. NET 賞金計畫的最新改進

近期,微軟對其. NET賞金計畫進行了重大更新,提高了漏洞報告領域的獎勵標準。獎勵金額現已從令人印象深刻的7, 000美元起,對於優秀的漏洞報告者,獎勵將進一步提升至40, 000美元。值得一提的是,最高獎勵將授予那些私下披露嚴重漏洞(特別是遠端程式碼執行 (RCE) 或特權提升 (EoP) 漏洞)並提供完整文件的人員。

詳細的獎勵結構

下表根據安全影響和提交報告的品質概述了各種獎勵等級:

安全影響 報告品質 批判的 重要的
遠端程式碼執行 完全的 4萬美元 3萬美元
未完成 2萬美元 2萬美元
權限提升 完全的 4萬美元 10, 000美元
未完成 2萬美元 4, 000美元
安全功能繞過 完全的 3萬美元 10, 000美元
未完成 2萬美元 4, 000美元
遠端拒絕服務 完全的 2萬美元 10, 000美元
未完成 15, 000美元 4, 000美元
欺騙或篡改 完全的 10, 000美元 5, 000 美元
未完成 7, 000美元 3, 000 美元
資訊揭露 完全的 10, 000美元 5, 000 美元
未完成 7, 000美元 3, 000 美元
不安全的文檔 完全的 10, 000美元 5, 000 美元
未完成 7, 000美元 3, 000 美元

.NET 賞金計畫的範圍

該計劃主要關注. NET 框架和 ASP. NET Core 中的安全漏洞,包括 Blazor 和 Aspire 等技術。最近的更新擴展了範圍,涵蓋所有支援的. NET、ASP. NET、在. NET 框架上執行的 ASP. NET Core 版本、相關範本、相關儲存庫中的 GitHub Actions,以及 F# 等相關技術。

結論

改進後的獎勵系統旨在透過將高影響漏洞與相應的金錢獎勵掛鉤,來強化其重要性。此外,它還明確了「完整」報告的組成要素,確保了透明度,並鼓勵更全面的報告提交。如需了解更多關於此令人興奮的更新的信息,請訪問 Microsoft 的專門部落格文章

來源和圖片

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *