Noll
Microsoft har lanserat en ny bug bounty program för Azure DevOps molntjänst med belöningar på upp till 20 000 $på erbjudande för intresserade forskare.
På torsdagen avslöjade Microsoft den bug bounty systemet är nu öppet för forskare som är villiga att hjälpa till att förbättra säkerheten för Azure DevOps, en molnbaserad plattform som används för koden utveckling samarbete ändamål.
Azure DevOps används av utvecklare över hela världen att arbeta på kod-relaterade projekt och inkluderar test rörledningar, privat Git-repo tillgång, paket och artefakt skapande, och verktyg för testning.
Se även: Windows 10 19H1: Microsoft skjuter sina tjänster med ” att Göra Windows ännu bättre fråga
Enligt Jarek Stanley, Microsoft Security Response Center (MSRC) Senior Manager, det nya programmet “dedikerade till att erbjuda rock-solid trygghet för våra DevOps kunder.”
Bug bounty-priser varierar från $500 till $20.000. De mest allvarliga fel som resulterar i fjärrkörning av kod (RCE) är berättigade till det högsta priset men beroende på svårighetsgrad — rankas som “hög”, “medel” och “låg” — utbetalningar är knuten till $10,000, $15,000 eller $20,000.
Förutom att RCE sårbarheter, Microsoft är också tilldelning av forskare för felrapporter avseende utökning av privilegier, information, förfalskning och manipulation.
CNET: Apples Tim Cook uppmanar till nya föreskrifter för att skydda din personliga data
Cross-site scripting (XSS) brister, cross-site request forgery (CSRF), cross-hyresgästen data manipulation och tillgång, osäkra direkt objekt referenser, osäkra avserialisering, injektion, buggar, server-side-kod, och någon “betydande” felaktiga säkerhetskonfigurationer ojordade av bug bounty hunters är alla som är godtagbara enligt villkoren för programmet,
Men, denial-of-service-fel har ansetts vara omfattad och kommer inte att belönas.
Full utbetalning listan nedan:
Microsoft
Forskare måste ge en uppskrivning eller video som dokumenterar sina resultat, en beskrivning av felet, och proof-of-concept (PoC) för kod som tillåter ingenjörer att replikera fel och potentiella attacker.
Microsoft är inte den enda stora tekniska säljaren väljer att expandera sin bug bounty program. I februari förra året, Intel öppnade upp sitt program till allmänheten och dinglade belöningar på upp till $250.000 för hög svårighetsgrad brister med sidan kanalen sårbarheter som är av särskilt intresse.
TechRepublic: Hur du ansluter till VNC med SSH
Google valde då att utöka sin bug bounty program i augusti till att omfatta anfall tekniker och vektorer som hot aktörer som skulle kunna utnyttjas för att kringgå missbruk och bedrägerier trygghetssystemen.
Facebook nu utmärkelser upp till $40.000 för konto övertagande sårbarheter och kommer också att belöna jägare för rapporter av användaren token exponering problem.
Eu har också nyligen blivit inblandade i bug bounty branschen genom att lova att finansiera bug bounty program för open-source-projekt, inklusive KeePass, 7-zip, VLC Media Player, Drupal, och FileZilla.
Tidigare och relaterade täckning
Microsoft lovar $500m för att fixa Större Seattle bostäder till ett överkomligt pris “kris”
Microsoft och Verizon Media förlänga Bing Ads-Yahoo-affär
Intel bug bounty program expanderar med fler belöningar
Relaterade Ämnen:
Microsoft
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0