Zero
Microsoft a lancé un nouveau bug du programme de primes pour l’Azure cloud, DevOps service avec des récompenses allant jusqu’à 20 000 $pour les chercheurs qui s’y intéressent.
Jeudi, Microsoft a révélé le bug bounty régime est maintenant ouvert pour les chercheurs désireux d’aider à améliorer la sécurité d’Azur DevOps, basée dans le cloud, la plate-forme utilisées pour le développement du code des fins de collaboration.
Azure DevOps est utilisé par les développeurs du monde entier pour travailler sur du code des projets et de test de pipelines, privé repo Git d’accès, l’emballage et l’artefact de la création, et des outils de test.
Voir aussi: Windows 10 19H1: Microsoft pousse ses services avec “Faire de Windows même en mieux” invite
Selon Jarek Stanley, Microsoft Security Response Center (MSRC) Gestionnaire Principal de Programme, le nouveau programme est “dédié à fournir une sécurité à toute épreuve pour notre DevOps clients.”
Bug bounty prix de la gamme de 500 $à 20 000$. La plupart des bugs graves résultant dans l’exécution de code à distance (RCE) sont admissibles à l’indemnité maximale, mais en fonction de la gravité — “élevé”, “moyen” et “faible” — les paiements sont fixés à 10 000$, 15 000 $ou de 20 000$.
En plus des RCE vulnérabilités, Microsoft est également l’attribution des chercheurs pour les rapports de bogues concernant le privilège d’escalade, la divulgation d’informations, usurpation d’identité, et de l’altération du système.
CNET: Apple Tim Cook appels pour de nouveaux règlements pour protéger vos données personnelles
Cross-site scripting (XSS) défauts, cross-site request forgery (CSRF), la croix-locataire de la falsification de données et d’accès, directe non sécurisée à un objet de références, l’insécurité, la désérialisation, des bogues de l’injection, le code côté serveur d’exécution, et tout “significatif” erreurs de configuration de sécurité mis à jour par des bug bounty hunters sont tous acceptables en vertu des modalités du programme,
Cependant, le déni-de-service de bugs ont été considérés comme hors de portée et ne seront pas récompensés.
La prestation complète la liste est ci-dessous:
Microsoft
Les chercheurs doivent fournir une écriture-up ou vidéo documentant leurs conclusions, une description de la vulnérabilité, et la preuve de concept (PoC) de code qui permettra d’ingénieurs de reproduire le bug et les attaques potentielles.
Microsoft n’est pas le seul grand tech fournisseur de choix pour développer leur bug bounty programmes. En février de l’année dernière, Intel a ouvert son programme pour le public et fait miroiter des récompenses allant jusqu’à 250 000 $pour le haut de la gravité des défauts avec le canal latéral de vulnérabilités d’un intérêt particulier.
TechRepublic: Comment se connecter à VNC en utilisant SSH
Google a choisi d’élargir sa bug du programme de primes en août pour inclure externe des techniques d’attaque et de vecteurs qui menace acteurs pourrait exploiter pour contourner les abus et les fraudes des systèmes de protection.
Facebook maintenant des prix jusqu’à 40 000 $pour la prise de contrôle du compte des vulnérabilités et aussi de récompenser les chasseurs pour les rapports de jeton de l’utilisateur problèmes d’exposition.
L’Union Européenne a également participé récemment dans le bug bounty industrie en promettant de fonds de bug bounty programmes pour les projets open-source, y compris KeePass, 7-zip, VLC Media Player, Drupal, et FileZilla.
Précédente et de la couverture liée
Microsoft promet de 500 m $pour réparer une Plus grande Seattle, l’abordabilité du logement “crise”
Microsoft et Verizon Médias étendre Bing Ads-affaire Yahoo
Intel bug bounty programme prend de l’expansion avec plus de récompenses
Rubriques Connexes:
Microsoft
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données
0