本記事は、Microsoft Security Response Center のブログ “Microsoft Bounty Programs Expansion - .NET Core and ASP.NET Beta Bounty” (2015 年 10 月 20 日米国時間公開) を翻訳した記事です。
投稿: ジェイソン シャーク – プリンシパル セキュリティ ストラテジスト – MSRC
ーーーーーーーーーーーーーーーーーーーー
本日、マイクロソフト 報奨金プログラム (英語情報) のもう一つの画期的な拡張についてお知らせします。詳細はこちら (英語情報) でご確認いただけます。この新しい報奨金プログラムについては、2015 年 10 月 21 日 (米国時間) に SyScan 360 のセッションでもご説明します。我々は、マイクロソフトが今月の初旬にリリースした .NET Core および ASP.NET Beta (英語情報) に報奨金を提供できることを喜ばしく思います。
.NET および ASP.NET は、Visual Studio Development Suite で重要なパーツです。この報奨金が特に興味深いのは、.NET に含まれるライブラリや機能により、開発者はより多くのオペレーティング システムで素晴らしいセキュリティと安定性を備えたプログラムの記述が行える点です。これは、いくつかの非 Windows プラットフォームは現在は除外ですが、最初は Linux および OS X を対象とし、いずれすべてのサポートされているプラットフォームに拡張されます。詳細情報は、FAQ、.NET プログラム規約 および .NET チームのブログ (すべて英語情報) をご覧ください。主なハイライトは以下です:
-
- 報奨金期間中における、.NET Core および ASP.NET の Beta 8、およびそれ以降の Beta 版またはリリース候補版
-
- 現在の対象は、Windows、OS X および Linux のサポートされているプラットフォーム
-
- 報奨金プログラム実施期間: 2015 年 10 月 20 日~ 2016 年 1 月 20 日 (米国時間)
-
- 報奨金額: 500 米ドルから 15,000 米ドルの範囲
このマイクロソフト報奨金プログラムの拡張は、マイクロソフトにおける厳格なセキュリティ プログラムの一環を成すでしょう。報奨金は、Security Development Lifecycle (SDL)、Operational Security Assurance (OSA) (すべて英語情報) フレームワーク、当社製品およびサービスの定期的な侵入テスト、およびサードパーティの監査によるセキュリティおよびコンプライアンス認定と共に実施されます。
マイクロソフト報奨金プログラムに関する最新情報は、こちら (英語情報) および関連規約や FAQ をご覧ください。
Happy Hacking!
ジェイソン シャーク
ーーーーーーーーーーーーーーーーーーーー
■ ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.com へ直接ご報告いただく必要があります。 この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。
皆様のご参加をお待ちしています!
■ 関連情報
- マイクロソフト報奨金プログラムについて: Microsoft Bounty Programs (英語情報)
- 今回拡張対象のプログラム: CoreCLR and ASP.NET 5 Technical Preview Bug Bounty (英語情報)
- 脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。