Microsoft платит до 4 млн рублей за найденные уязвимости в .NET!

Многие IT-компании предлагают щедрые вознаграждения (так называемые "bug bounty") специалистам, которые находят уязвимости в их программном обеспечении и сообщают о них напрямую разработчикам. Это позволяет оперативно исправить проблему, прежде чем злоумышленники смогут ею воспользоваться. Microsoft не исключение, и они только что объявили о существенном увеличении выплат в своей программе .NET Bounty.

Теперь за обнаруженные уязвимости можно получить от 7 000 до 40 000 долларов (примерно от 650 000 до 4 млн рублей). Конечно, максимальная награда полагается только за выявление критических уязвимостей, позволяющих удаленно выполнить код (RCE) или повысить привилегии (EoP), при условии предоставления полной документации.

Вот как выглядит таблица вознаграждений:

Подробнее о программе .NET Bounty

Программа .NET Bounty в первую очередь ориентирована на поиск уязвимостей в .NET и ASP.NET Core, включая Blazor и Aspire. Теперь в список входят все поддерживаемые версии .NET и ASP.NET, ASP.NET Core для .NET Framework, шаблоны, предоставляемые вместе с ними, GitHub Actions в их репозиториях и смежные технологии, такие как F#.

Обновленная система вознаграждений четко определяет уровни серьезности, чтобы за проблемы с высоким уровнем воздействия выплачивались более крупные суммы. Microsoft также предоставила рекомендации о том, как составить "полный" отчет об уязвимости.

Полную информацию о программе можно найти в блоге Microsoft.

Мнение редакции:

Microsoft делает важный шаг для повышения безопасности своих продуктов, стимулируя сообщество специалистов по безопасности искать уязвимости. Увеличение вознаграждений делает программу более привлекательной и должно привести к обнаружению большего количества критических ошибок.