许多公司提供漏洞赏金计划,鼓励人们搜索并发现软件中的安全漏洞,并私下向供应商报告,以便在恶意攻击者利用漏洞之前实施并应用修复程序。安全研究人员和其他公众会获得金钱奖励,从而获得经济激励。
现在,微软已宣布对其 .NET Bounty 计划进行重大更新。
奖励金额现从 7000 美元起,最高可达令人垂涎的 40000 美元。请注意,最高奖励仅适用于私下披露远程代码执行 (RCE) 或特权提升 (EoP) 漏洞,并提供完整文档且造成严重影响的情况。
各奖励等级的细分如下:
值得注意的是,.NET 赏金计划主要围绕 .NET 和 ASP.NET Core 展开,包括 Blazor 和 Aspire。但新的产品类别现在涵盖了所有受支持的 .NET 和 ASP.NET 版本、适用于 .NET Framework 的 ASP.NET Core、上述内容提供的模板、其存储库中的 GitHub Actions 以及 F# 等相关技术。
更新后的奖励结构确保了严重性等级的明确定义,以便高影响的问题获得更高的奖励,同时还提供了关于如何将报告视为 “完整” 的指南。您可以在微软的专门博客文章中找到更多信息。
