Microsoft ha mejorado significativamente su programa .NET Bounty, anunciando actualizaciones sustanciales que amplían el alcance del programa, racionalizan las estructuras de premios y proporcionan mayores incentivos para los investigadores de ciberseguridad.
El programa mejorado ahora ofrece recompensas de hasta $ 40,000 USD para identificar vulnerabilidades críticas dentro del ecosistema .NET, lo que representa un compromiso importante para fortalecer el marco de seguridad de una de las plataformas de desarrollo más utilizadas del mundo.
Control de llave
1. Recompensa hasta $ 40,000 por vulnerabilidades críticas con hazañas completas.
2. Cubre todas las versiones .NET, ASP.NET Core, F#, Blazor y GitHub Actions.
3. El sistema de dos niveles recompensa informes completos con hazañas más altas que las presentaciones teóricas.
Alcance y cobertura del programa ampliado
El programa actualizado de Bounty .NET presenta una cobertura integral en todo el ecosistema de desarrollo de Microsoft.
El programa ahora abarca todas las versiones compatibles de .NET y ASP.NET, extendiendo su alcance para incluir tecnologías adyacentes como el lenguaje de programación F# y las versiones compatibles de ASP.NET Core para .NET Framework.
Además, el alcance incluye plantillas proporcionadas con versiones Core .NET y ASP.NET ASP.NET, así como acciones de GitHub dentro de los repositorios de Core .NET y ASP.NET.
Esta expansión refleja el reconocimiento de Microsoft de la naturaleza interconectada de los marcos de desarrollo modernos, donde las vulnerabilidades en un componente pueden afectar potencialmente los ecosistemas de aplicación enteros.
La inclusión de tecnologías Blazor y Aspire dentro del alcance de Bounty demuestra el compromiso de Microsoft de asegurar marcos emergentes de desarrollo web y plataformas de aplicaciones nativas de nube.
Los investigadores de seguridad ahora pueden apuntar a una gama más amplia de vectores de ataque, desde vulnerabilidades tradicionales del lado del servidor hasta fallas de seguridad del lado del cliente en aplicaciones modernas de una sola página.
Microsoft ha implementado Una estructura de recompensa escalonada que correlaciona los montos de adjudicación con la gravedad de la vulnerabilidad y la calidad del informe.
El nuevo marco clasifica los impactos de seguridad en tipos específicos, incluida la ejecución de código remoto, la elevación del privilegio, el derivación de la función de seguridad, la negación remota del servicio, la falsificación o la manipulación y la divulgación de información.
Las vulnerabilidades de ejecución de código remoto crítico con exploits completos pueden otorgar a los investigadores la máxima recompensa de $ 40,000, mientras que las vulnerabilidades de nivel importante de la misma categoría reciben $ 30,000.
Seguridad ImpactReport QualityCriticalImportAntremote Code ExecutionComplete $ 40,000 $ 30,000NOT COMPLETO $ 20,000 $ 20,000Elevation de PrivilegeComplette $ 40,000 $ 10,000 Not $ 20,000 $ 4,000security Feature BypassComplete $ 30,000 $ 10,000not Complete $ 20,000 $ 4,000 REALIENTA DE REMOTRADO DE SERVICE TamberingComplete $ 10,000 $ 5,000 not completo $ 7,000 $ 3,000Information DivlosureComplete $ 10,000 $ 5,000not completo $ 7,000 $ 3,000 Documentación Problemas de seguridad*Complete $ 10,000 $ 5,000 Not $ 7,000 $ 3,000
El programa presenta un sistema de clasificación binaria para la calidad del informe, que distingue entre presentaciones “completas” que incluyen exploits completamente funcionales y presentaciones “no completas” que presentan escenarios teóricos.
Este enfoque alienta a los investigadores a proporcionar inteligencia procesable que permita a los equipos de seguridad de Microsoft comprender y remediar las vulnerabilidades de manera efectiva.
La estructura de premios también aborda los problemas de seguridad de la documentación, que ofrece recompensas para identificar prácticas de codificación inseguros en la documentación oficial que podría engañar a los desarrolladores.
Esta mejora estratégica del programa .NET Bounty subraya el enfoque proactivo de Microsoft para la ciberseguridad, aprovechando a la comunidad de investigación global para identificar y abordar posibles vulnerabilidades de seguridad antes de que puedan ser explotadas maliciosamente.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
