Microsoft پاداش کشف باگهای .NET را به ۴۰,۰۰۰ دلار افزایش داد
Microsoft برنامه باگ بانتی .NET را گسترش داد و سقف پاداشها را تا ۴۰,۰۰۰ دلار افزایش داد
Microsoft برنامه کشف آسیبپذیریهای .NET خود را گسترش داده و پاداش کشف برخی آسیبپذیریهای .NET و ASP.NET Core را تا سقف ۴۰,۰۰۰ دلار افزایش داده است.
“Madeline Eckert”، مدیر ارشد برنامه در بخش Researcher Incentives and Bounty در Microsoft، اعلام کرد که این تغییرات با هدف بازتاب دقیقتر پیچیدگیهای موجود در فرایند کشف و اکسپلویت آسیبپذیریهای .NET انجام شدهاند.
او افزود: «ما با افتخار بهروزرسانیهای مهمی را در برنامه باگ بانتی .NET اعلام میکنیم. این تغییرات دامنه برنامه را گسترش میدهند، ساختار جوایز را سادهسازی میکنند و مشوقهای قابل توجهی برای پژوهشگران امنیتی فراهم میسازند.»
بر اساس تغییرات جدید، برنامه باگ بانتی .NET اکنون تا سقف ۴۰,۰۰۰ دلار برای آسیبپذیریهایی که بر .NET و ASP.NET Core (شامل Blazor و Aspire) تأثیر میگذارند، پاداش پرداخت میکند.
از امروز، Microsoft برای آسیبپذیریهای بحرانی از نوع Remote Code Execution و Privilege Escalation تا سقف ۴۰,۰۰۰ دلار، برای موارد بحرانی مربوط به Bypass در مکانیزمهای امنیتی تا ۳۰,۰۰۰ دلار، و برای آسیبپذیریهای بحرانی از نوع Remote Denial-of-Service تا سقف ۲۰,۰۰۰ دلار پرداخت خواهد کرد.
دامنه پوشش برنامه باگ بانتی .NET نیز گسترش یافته تا شامل موارد بیشتری از آسیبپذیریهای .NET Framework شود. موارد تحت پوشش اکنون عبارتند از:
- تمامی نسخههای پشتیبانیشده از .NET و ASP.NET
- فناوریهای مرتبط نظیر F#
- نسخههای پشتیبانیشده ASP.NET Core برای .NET Framework
- قالبهای ارائهشده همراه با نسخههای پشتیبانیشده از .NET و ASP.NET Core
- GitHub Actions در ریپازیتوریهای .NET و ASP.NET Core
اوایل امسال، Microsoft پاداش کشف آسیبپذیریهای مرتبط با هوش مصنوعی در سرویسها و محصولات Power Platform و Dynamics 365 را تا ۳۰,۰۰۰ دلار افزایش داد.
در ماه فوریه نیز، این شرکت میزان پرداختی برای آسیبپذیریهای امنیتی با شدت متوسط در Microsoft Copilot (AI) را افزایش داد و یک ضریب دوبرابری (۱۰۰٪) برای تمامی جوایز مربوط به Copilot در نظر گرفت تا تحقیقات امنیتی در حوزه هوش مصنوعی را تشویق کند.
همچنین در کنفرانس سالانه Ignite در سال گذشته، Microsoft رویداد “Zero Day Quest” را با تمرکز بر محصولات و پلتفرمهای ابری و هوش مصنوعی برگزار کرد که مجموع جوایز آن به ۴ میلیون دلار میرسید.
این اقدامات بخشی از ابتکار Secure Future Initiative (SFI) محسوب میشوند؛ طرحی جامع در سطح سازمانی برای مهندسی امنیت سایبری که در نوامبر ۲۰۲۳ و در پی گزارش انتقادی صادر شده توسط Cyber Safety Review Board وزارت امنیت داخلی ایالات متحده راهاندازی شد. در آن گزارش، فرهنگ امنیتی Microsoft «نامناسب و نیازمند بازنگری اساسی» توصیف شده بود.