许多公司提供漏洞赏金计划,鼓励人们搜索并发现软件中的安全漏洞,并私下向供应商报告,以便在恶意攻击者利用漏洞之前实施并应用修复程序。安全研究人员和其他公众会获得金钱奖励,从而获得经济激励。现在,微软已宣布对其 .NET Bounty 计划进行重大更新。
奖励金额现从 7000 美元起,最高可达令人垂涎的 40000 美元。请注意,最高奖励仅适用于私下披露远程代码执行 (RCE) 或特权提升 (EoP) 漏洞,并提供完整文档且造成严重影响的情况。
各奖励等级的细分如下:
| 安全影响 | 报告质量 | 批判的 | 重要的 |
|---|---|---|---|
| 远程代码执行 | 完整的 | 4万美元 | 3万美元 |
| 未完成 | 2万美元 | 2万美元 | |
| 权限提升 | 完整的 | 4万美元 | 10,000美元 |
| 未完成 | 2万美元 | 4,000美元 | |
| 安全功能绕过 | 完整的 | 3万美元 | 10,000美元 |
| 未完成 | 2万美元 | 4,000美元 | |
| 远程拒绝服务 | 完整的 | 2万美元 | 10,000美元 |
| 未完成 | 15,000美元 | 4,000美元 | |
| 欺骗或篡改 | 完整的 | 10,000美元 | 5,000 美元 |
| 未完成 | 7,000美元 | 3,000 美元 | |
| 信息披露 | 完整的 | 10,000美元 | 5,000 美元 |
| 未完成 | 7,000美元 | 3,000 美元 | |
| 文档或文档中包含的样本是不安全的或鼓励不安全的,并且不被描述为不考虑安全性的样本 | 完整的 | 10,000美元 | 5,000 美元 |
| 未完成 | 7,000美元 | 3,000 美元 |
值得注意的是,.NET 赏金计划主要围绕 .NET 和ASP.NET Core 展开,包括 Blazor 和 Aspire。但新的产品类别现在涵盖了所有受支持的 .NET 和ASP.NET版本、适用于 .NET Framework 的ASP.NET Core、上述内容提供的模板、其存储库中的 GitHub Actions 以及 F# 等相关技术。
更新后的奖励结构确保了严重性等级的明确定义,以便高影响的问题获得更高的奖励,同时还提供了关于如何将报告视为“完整”的指南。您可以在微软的专门博客文章中找到更多信息。