Nul
Microsoft har lanceret en ny bug bounty program for Azure DevOps cloud-tjeneste med belønninger på op til $20.000 på tilbud til interesserede forskere.
På torsdag, Microsoft afslørede bug bounty-ordningen er nu åben for forskere, der er villige til at hjælpe med at forbedre sikkerheden i Azure DevOps, en cloud-baseret platform, der anvendes til at kode udvikling, samarbejde formål.
Azure DevOps er brugt af udviklere verden over til at arbejde på kode-relaterede projekter og omfatter test rørledninger, private Git repo adgang til pakke-og artefakt skabelse, og testværktøjer.
Se også: Windows 10 19H1: Microsoft presser sine tjenester med ‘Gøre Windows endnu bedre,” prompt
I henhold til Jarek Stanley, Microsoft Security Response Center (MSRC) Senior Program Manager, det nye program er “dedikeret til at levere bundsolid sikkerhed for vores DevOps kunder.”
Bug bounty præmier spænder fra $500 til $20.000. De mest alvorlige fejl, der resulterer i fjernkørsel af programkode (RCE) er berettiget til den maksimale pris, men afhængig af sværhedsgraden — rangeret som “høj”, “medium” og “lav” — udbetalinger er bundet af $10.000 og 15.000 dollars, eller $20,000.
I tillæg til RCE sårbarheder, Microsoft er også tildeling af forskere for fejlrapporter vedrørende rettighedsforøgelse, afsløring af oplysninger, spoofing, og systemet manipulation.
CNET: Apple ‘ s Tim Cook, der opfordrer til, at nye regler for at beskytte dine personlige data
Cross-site scripting (XSS) fejl, cross-site request forgery (CSRF), cross-lejer data manipulation og adgang, usikre direkte objekt referencer, usikre deserialization, injection fejl, server-side kode, og “væsentlig” forkerte sikkerhedskonfigurationer afdækket ved bug bounty hunters er alle acceptable under betingelserne i program,
Men denial-of-service-fejl, har fundet ud af rækkevidde og ikke vil blive belønnet.
Den fulde udbetaling listen nedenfor:
Microsoft
Forskere skal give en skrive-up eller en video, der dokumenterer deres resultater, en beskrivelse af sårbarheden, og proof-of-concept (PoC) kode, der vil tillade ingeniører til at gentage fejl og potentielle angreb.
Microsoft er ikke den eneste store tech sælger vælger at udvide deres bug bounty-programmer. I februar sidste år, Intel åbnet sit program til offentlige og dinglede belønninger på op til $250.000 for høj sværhedsgrad fejl med sidekanal sårbarheder, der er af særlig interesse.
TechRepublic: Hvordan at oprette forbindelse til VNC-med brug af SSH
Google valgte derefter at udvide sin bug bounty program i August til også at omfatte eksterne angreb teknikker og vektorer, som trussel aktører kan udnytte til at omgå misbrug og svindel beskyttelse systemer.
Facebook nu priser op til $40,000 konto overtagelse sårbarheder og vil også belønne jægere til rapporter om brugerens token eksponering problemer.
Den Europæiske Union har også for nylig blevet involveret i bug bounty industri og lovede at finansiere bug bounty-programmer for open source-projekter, herunder KeePass, 7-zip, VLC Media Player, Drupal, og FileZilla.
Tidligere og relaterede dækning
Microsoft lover $500 at lave Større Seattle ‘ s boliger overkommelighed ‘krise’
Microsoft og Verizon Medier udvide Bing Ads-Yahoo deal
Intel bug bounty program udvider med flere belønninger
Relaterede Emner:
Microsoft
Sikkerhed-TV
Data Management
CXO
Datacentre
0