Microsoft, .NET ödül programını önemli ölçüde artırdı, programın kapsamını genişleten, ödül yapılarını kolaylaştıran ve siber güvenlik araştırmacıları için daha fazla teşvik sağlayan önemli güncellemeleri duyurdu.
Gelişmiş program artık .NET ekosistemindeki kritik güvenlik açıklarını tanımlamak için 40.000 USD’ye kadar ödüller sunar ve dünyanın en yaygın kullanılan geliştirme platformlarından birinin güvenlik çerçevesini güçlendirme konusundaki büyük bir taahhüdü temsil eder.
Key Takeaways
1. Rewards up to $40,000 for critical vulnerabilities with complete exploits.
2. Covers all .NET versions, ASP.NET Core, F#, Blazor, and GitHub Actions.
3. Two-tier system rewards complete reports with exploits higher than theoretical submissions.
Genişletilmiş program kapsamı ve kapsamı
Güncellenmiş .NET ödül programı, Microsoft’un geliştirme ekosisteminde kapsamlı bir kapsam sunar.
Program artık .NET ve ASP.NET’in desteklenen tüm sürümlerini kapsamakta ve erişimini F# programlama dili gibi bitişik teknolojileri ve .NET Çerçevesi için ASP.NET Core’un desteklenen sürümlerini içerecek şekilde genişletiyor.
Ayrıca, kapsam, desteklenen .NET ve ASP.NET çekirdek sürümleri ile birlikte sağlanan şablonları ve .NET ve ASP.NET çekirdek depoları içindeki GitHub eylemlerini içerir.
Bu genişleme, Microsoft’un bir bileşendeki güvenlik açıklarının tüm uygulama ekosistemlerini etkileyebileceği modern gelişim çerçevelerinin birbirine bağlı doğasını tanıymasını yansıtır.
Blazor ve Aspire Technologies’in Bounty Scope’a dahil edilmesi, Microsoft’un gelişmekte olan web geliştirme çerçevelerini ve bulut doğal uygulama platformlarını güvence altına alma taahhüdünü göstermektedir.
Güvenlik araştırmacıları artık modern tek sayfalık uygulamalarda geleneksel sunucu tarafı güvenlik açıklarından istemci tarafı güvenlik kusurlarına kadar daha geniş bir saldırı vektörünü hedefleyebilir.
Microsoft, ödül tutarlarını güvenlik açığı şiddeti ve rapor kalitesi ile ilişkilendiren katmanlı bir ödül yapısı uyguladı.
Yeni çerçeve, güvenlik etkilerini uzaktan kod yürütme, ayrıcalık yüksekliği, güvenlik özelliği bypass, uzaktan hizmet reddi, sahtekarlık veya kurcalama ve bilgi açıklaması gibi belirli türlere kategorize eder.
Tam istismarlara sahip kritik uzaktan kumanda yürütme güvenlik açıkları, araştırmacılara maksimum 40.000 $ ödülü kazanabilirken, aynı kategorinin önemli düzeyde güvenlik açıkları 30.000 $ alıyor.
| Güvenlik etkisi | Rapor Kalitesi | Eleştirel | Önemli |
| Uzak Kod Yürütme | Tamamlamak | 40.000 dolar | 30.000 dolar |
| Tamamlanmadı | 20.000 dolar | 20.000 dolar | |
| Ayrıcalık yüksekliği | Tamamlamak | 40.000 dolar | 10.000 dolar |
| Tamamlanmadı | 20.000 dolar | 4.000 $ | |
| Güvenlik Özelliği Bypass | Tamamlamak | 30.000 dolar | 10.000 dolar |
| Tamamlanmadı | 20.000 dolar | 4.000 $ | |
| Uzaktan hizmet reddi | Tamamlamak | 20.000 dolar | 10.000 dolar |
| Tamamlanmadı | 15.000 dolar | 4.000 $ | |
| Sahtekarlık veya kurcalama | Tamamlamak | 10.000 dolar | 5.000 dolar |
| Tamamlanmadı | 7.000 dolar | 3.000 $ | |
| Bilgi Açıklama | Tamamlamak | 10.000 dolar | 5.000 dolar |
| Tamamlanmadı | 7.000 dolar | 3.000 $ | |
| Dokümantasyon Güvenlik Sorunları* | Tamamlamak | 10.000 dolar | 5.000 dolar |
| Tamamlanmadı | 7.000 dolar | 3.000 $ |
Program, tamamen işlevsel istismarlar ve teorik senaryolar sunan “eksiksiz olmayan” gönderimleri içeren “eksiksiz” gönderimler arasında ayrım yapan rapor kalitesi için bir ikili sınıflandırma sistemi sunmaktadır.
Bu yaklaşım, araştırmacıları Microsoft’un güvenlik ekiplerinin güvenlik açıklarını etkili bir şekilde anlamasını ve düzeltmesini sağlayan eyleme geçirilebilir istihbarat sağlamaya teşvik etmektedir.
Ödül yapısı ayrıca, geliştiricileri yanıltabilecek resmi belgelerde güvensiz kodlama uygulamalarını belirlemek için ödüller sunan belge güvenlik sorunlarını da ele almaktadır.
.NET ödül programının bu stratejik geliştirilmesi, Microsoft’un siber güvenlik konusundaki proaktif yaklaşımının altını çizerek küresel araştırma topluluğunu, kötü niyetli bir şekilde kullanılmadan önce potansiyel güvenlik güvenlik açıklarını tanımlamak ve ele almak için kullanıyor.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches