Zero
Microsoft ha lanciato un nuovo bug bounty program per l’Azzurro DevOps servizio cloud con premi fino a $20.000 in offerta per i ricercatori interessati.
Giovedì, Microsoft ha rivelato il bug bounty schema è ora aperto per i ricercatori disposti a contribuire a migliorare la sicurezza di Azure DevOps, una piattaforma cloud-based utilizzato per il codice di collaborazione per lo sviluppo di fini.
Azure DevOps è utilizzato da sviluppatori di tutto il mondo a lavorare su codice-progetti correlati e include test gasdotti, privato di un repository Git di accesso, pacchetto e artefatto creazione e strumenti di test.
Vedi anche: Windows 10 19H1: Microsoft spinge i suoi servizi con ‘Make Windows ancora meglio” richiesta di
Secondo Jarek Stanley, Microsoft Security Response Center (MSRC) Senior Program Manager, il nuovo programma è “dedicato a fornire una protezione affidabile per il nostro DevOps clienti.”
Bug bounty premi vanno da $500 a $20.000. La maggior parte dei bug più o meno gravi con conseguente esecuzione di codice remoto (RCE) sono ammissibili per il premio ma, a seconda della gravità — classificato come “alto”, “medio” e “basso” — pagamenti sono ancorato a $10.000, 15.000 dollari, o $20,000.
Oltre a RCE vulnerabilità di Microsoft è anche l’aggiudicazione di ricercatori per le segnalazioni di bug relativi al privilege escalation, la divulgazione di informazioni, spoofing, e il sistema di manomissione.
CNET: Apple Tim Cook chiede nuove norme per proteggere i vostri dati personali
Il Cross-site scripting (XSS) difetti, cross-site request forgery (CSRF), cross-inquilino di manomissione dei dati e di accesso, insicuro diretti riferimenti a un oggetto, insicuro deserializzazione, iniezione di bug, il codice lato server di esecuzione e di qualsiasi “significativo” di sicurezza configurazioni errate rinvenuti dal bug cacciatori di taglie sono tutte accettabili, secondo i termini del programma,
Tuttavia, denial-of-service bug sono stati considerati fuori del campo di applicazione e non sarà ricompensato.
Il pagamento pieno elenco è riportato di seguito:
Microsoft
I ricercatori devono fornire un write-up o video che documentano i loro risultati, una descrizione della vulnerabilità, e proof-of-concept (PoC) del codice che permetterà agli ingegneri di replicare il bug e a potenziali attacchi.
Microsoft non è la sola principali di tecnologia del fornitore la scelta di espandere i loro bug bounty programmi. Nel febbraio dello scorso anno, Intel ha aperto il suo programma per il pubblico e penzolava premi fino a $250.000 per gravità e difetti a canale laterale con le vulnerabilità di particolare interesse.
TechRepublic: Come connettersi a VNC, SSH
Google ha poi scelto di ampliare la propria bug bounty program nel mese di agosto per esterni di attacco di tecniche e i vettori che minaccia gli attori hanno potuto sfruttare per ignorare gli abusi e le frodi sistemi di protezione.
Facebook ora premi fino a $40.000 per conto di acquisizione di vulnerabilità e di premiare i cacciatori per i rapporti di utente token problemi di esposizione.
Anche l’Unione Europea ha recentemente coinvolto nel bug bounty industria, promettendo di fondo bug bounty programmi per progetti open source come KeePass, 7-zip, VLC Media Player, Drupal, e FileZilla.
Precedente e relativa copertura
Microsoft promette 500 milioni di dollari per risolvere una Maggiore Seattle accessibilità abitativa ‘crisi’
Microsoft e Verizon Media estendere Bing-Yahoo tassi
Intel bug bounty program si espande con più premi
Argomenti Correlati:
Microsoft
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0