Microsoft .NET Bounty dasturi mukofotini 40 000 dollargacha oshirmoqchi
1
28
0
.NET da masofaviy kod bajarish yoki imtiyozlarni oshirish xatolarini batafsil bayon qiluvchi to'g'ri va to'liq hisobotlar maksimal mukofotlarga loyiq hisoblanadi.
Microsoft payshanba kuni kiberxavfsizlik tadqiqotchilari endi .NET freymuorki va unga bog'liq texnologiyalardagi zaifliklarni batafsil bayon qiluvchi malakali hisobotlar uchun 40,000 dollargacha mukofot olishlari mumkinligini e'lon qildi.
Texnologiya giganti ta'kidlashicha, qiziquvchi tadqiqotchilar .NET va ASP.NET Core (shu jumladan Blazor va Aspire)dagi tanqidiy (critical) darajadagi masofaviy kod bajarish (RCE) yoki imtiyozlarni oshirish (EoP) kamchiliklarini batafsil bayon qiluvchi to'liq hisobotlar uchun maksimal mukofotlarni olishlari mumkin.
Xavfsizlik chetlab o'tish usullari haqida hisobot beruvchi tadqiqotchilar o'z topilmalari uchun 30,000 dollargacha mukofot olishlari mumkin, masofaviy xizmatni rad etish (DoS) xatolari esa ularga 20,000 dollargacha daromad keltirishi mumkin. Microsoft soxtalik yoki buzib o'zgartirish muammolari, ma'lumotlarni oshkor qilish xatolari va xavfsiz bo'lmagan hujjatlar uchun 20,000 dollargacha to'laydi.
Texnologiya giganti shuningdek xatoliklar uchun mukofot dasturining qamrovi kengaytirilganini e'lon qildi, endi u barcha qo'llab-quvvatlanadigan .NET va ASP.NET talqinlari, F# va boshqa bog'liq texnologiyalar, .NET Framework talqinlari uchun qo'llab-quvvatlanadigan ASP.NET Core, .NET va ASP.NET Core uchun namunalar, hamda .NET va ASP.NET Core omborlaridagi GitHub Actionsni qamrab oladi.
Bundan tashqari, Microsoft topshiriqni baholash va mukofotlashda aniqroq jiddiylik darajalari, xavfsizlik ta'siri va hisobot sifati uchun qayta ko'rib chiqilgan mezonlar bilan bog'liq o'zgarishlar kiritdi.
Qayta tuzilgan .NET Mukofot Dasturi doirasida Microsoft mukofotlarni zaiflikning ehtimoliy ta'siriga asoslanib hisoblab chiqadi, shunda yuqori jiddiylikdagi xavfsizlik nuqsonlari qiymatliroq to'lovlarni oladi.
Yangi xavfsizlik ta'sir turlari Microsoft boshqa xatoliklar uchun mukofot dasturlarida ishlatadigan turlar bilan uyg'unlashtirilgan, natijada tadqiqotchilar topshiriq baholashlarini yaxshiroq tushunishlari mumkin.
Shunday qilib, tanqidiy darajadagi RCE, EoP va xavfsizlik chetlab o'tish xatolarini batafsil bayon qiluvchi 'to'liq bo'lmagan' topshiriqlar 20,000 dollargacha mukofot bilan taqdirlanadi. To'liq bo'lmagan masofaviy DoS hisobotlari 15,000 dollargacha mukofot oladi, soxtalik, ma'lumotlarni oshkor qilish va xavfsiz bo'lmagan hujjatlar uchun esa 7,000 dollardan ortiq daromad berilmaydi.
"Ushbu yangilanishlar shaffoflikni va .NET ekotizimining xavfsizligini yaxshilashga yordam beradigan batafsil, amaliy topshiriqlarni rag'batlantiradi", - deya ta'kidladi Microsoft.
