本記事は、Microsoft Security Response Center のブログ “Announcing a Microsoft .NET Core and ASP.NET Core Bug Bounty” (2016 年 9 月 1 日米国時間公開) を翻訳した記事です。
本日、新たなマイクロソフト報奨金プログラムの拡張をお知らせできることを嬉しく思います。現在実施中の報奨金プログラムに .NET Core および ASP.NET Core を追加します。2016 年 9 月 1 日より、Windows と Linux バージョンの .NET Core および ASP.NET Core に関する報奨金プログラムを開始します。プログラムのハイライトは、以下のとおりです。
- マイクロソフトは Microsoft .NET Core および ASP.NET Core の最新の RTM バージョン、または最新のバージョンの .NET Core および ASP.NET Core のサポートされているベータまたは RC リリースについて、「緊急」および「重要」と評価される脆弱性に対して報奨金を支払う
- ASP.NET Web Tools Extension for Visual Studio 2015 以降で提供されている既定の ASP.NET Core テンプレートの脆弱性も含む
- マイクロソフトの新しい Web サーバーである Kestrel も対象
- サポートされるプラットフォームは、Windows および Linux バージョンの .NET Core と ASP.NET Core
- 報奨金を受けるためには、最新の RTM バージョン、もしくは現在の RTM バージョン以降でサポートされているベータまたは RC リリース上で脆弱性を提出および再現する必要がある
- 報告の質が高ければ高いほど、報奨金の金額は上がる
- 報奨金プログラムの実施期間は 2016 年 9 月 1 日から無期限 (マイクロソフトの判断により終了)
- 報奨金の金額は 500 米ドルから 15,000 米ドルの範囲
現在の RTM バージョンおよび後続のベータ版は https://dot.net/ からインストールできます。この新しい報奨金プログラムは、現在実施中の Microsoft Edge のリモートでのコード実行 (RCE) に関する報奨金プログラム、Online Services 報奨金プログラム、および Mitigation bypass and Bounty for Defense 報奨金プログラムに追加されます。これらの拡張は、マイクロソフトにおける厳格なセキュリティ プログラムの一環となります。報奨金プログラムは、マイクロソフトの Security Development Lifecycle (SDL)、Operational Security Assurance (OSA) フレームワーク、マイクロソフトの製品とサービスに対する定期的な侵入テスト、およびサード パーティの監査によるセキュリティとコンプライアンス認証を補完するものです。
マイクロソフト報奨金プログラムの最新情報は、こちらの Web サイトおよび関連規約や FAQ を参照してください。
Happy hacking!
ジェイソン シャーク、アキラ スリニヴァサン
■ ご報告時の注意点
マイクロソフトの報奨金プログラムへご参加される場合は、脆弱性報告はすべて、こちらのガイドラインに沿って米国 secure@microsoft.comへ直接ご報告いただく必要があります。 この際、英語でのご報告が困難な場合は日本語の併記・記載でも構いません。これは、報奨金受賞者選定において、公平性の観点で重要となります。 皆様のご参加をお待ちしています!
■ 関連情報
- マイクロソフト報奨金プログラムについて: Microsoft Bounty Programs(英語情報)
- 今回拡張対象のプログラム: Announcing a Microsoft .NET Core and ASP.NET Core Bug Bounty(英語情報)
- 脆弱性報告窓口「脆弱性に関する情報をお寄せください」: 報奨金プログラムへ参加せず、日本語で脆弱性報告を行う場合はこちらからお寄せ下さい。