Nul
Microsoft is gestart met een nieuwe bug bounty ‘ programma voor de Azure cloud, DevOps-service met de voordelen van maximaal $20.000 aan te bieden voor geïnteresseerde onderzoekers.
Op donderdag, Microsoft onthulde de bug bounty regeling is nu open voor onderzoekers bereid om te helpen bij het verbeteren van de veiligheid van het Azure DevOps, een cloud-gebaseerd platform gebruikt voor de ontwikkeling van de samenwerking doeleinden.
Azure DevOps wordt gebruikt door ontwikkelaars over de hele wereld om te werken aan de code-gerelateerde projecten en omvat test pijpleidingen, eigen Git repo toegang, pakket en kunstmatige schepping, en het testen van instrumenten.
Zie ook: Windows-10 19H1: Microsoft duwt haar diensten met ‘Windows nog beter’ – prompt
Volgens Jarek Stanley, Microsoft Security Response Center (MSRC) Senior Programma Manager, het nieuwe programma wordt “gewijd aan het verstrekken van een solide beveiliging voor onze DevOps klanten.”
Bug bounty prijzen variëren van $500 en $20.000. De meest ernstige bugs resulteert in de uitvoering van externe code (RCE) in aanmerking komen voor de maximale prijs, maar afhankelijk van de ernst — gerangschikt als “hoog”, “gemiddeld” en “lage” — uitbetalingen zijn gekoppeld aan de $10.000, 15.000 dollar, of $20,000.
Naast RCE kwetsbaarheden, Microsoft is ook de gunning van de onderzoekers voor de bug-meldingen met betrekking tot escalatie van bevoegdheden, het vrijgeven van informatie, spoofing, en manipulaties van het systeem.
CNET: Apple ‘ s Tim Cook vraagt om nieuwe regelgeving voor het beschermen van uw persoonlijke gegevens
Cross-site scripting (XSS) gebreken, cross-site request forgery (CSRF), cross-huurder geknoei met gegevens en toegang, onzeker directe object verwijzingen, onzeker deserialisatie, injectie bugs, server-side code, en alle “belangrijke” security onjuiste opgegraven door bug bounty hunters zijn allemaal aanvaardbaar is op grond van de voorwaarden van het programma,
Echter, denial-of-service-bugs worden geacht buiten het bereik en zal niet beloond worden.
De volledige uitbetaling lijst staat hieronder:
Microsoft
Onderzoekers moeten een schrijf-of video-documenteren van hun bevindingen, een beschrijving van de kwetsbaarheid, en proof-of-concept (PoC) – code die het mogelijk ingenieurs voor het repliceren van de bug en mogelijke aanvallen.
Microsoft is niet de enige grote tech-leverancier te kiezen om uit te breiden hun bug bounty ‘programma’ s. In februari vorig jaar, Intel opende haar programma aan het publiek en bungelden beloning van $250.000 voor zeer ernstige gebreken met nevengeul kwetsbaarheden van bijzonder belang.
TechRepublic: Hoe om te verbinden naar de VNC met behulp van SSH
Google koos voor de uitbreiding van haar bug bounty ‘ programma in augustus externe aanval technieken en vectoren die dreigingen kunnen benutten om een bypass om misbruik en fraude systemen.
Facebook nu met prijzen tot $40.000 voor rekening overname kwetsbaarheden en zal ook belonen jagers voor rapporten van de gebruiker token blootstelling problemen.
De Europese Unie heeft onlangs ook betrokken worden in de bug bounty-industrie door te beloven fonds bug bounty ‘programma’ s voor open-source projecten zoals KeePass, 7-zip, VLC Media Player, Drupal, en FileZilla.
Vorige en aanverwante dekking
Microsoft belooft $500m op te lossen Groter Seattle betaalbaarheid van woningen in de ‘crisis’
Microsoft en Verizon Media uit te breiden Bing Ads-Yahoo deal
Intel bug bounty ‘ programma breidt uit met meer beloningen
Verwante Onderwerpen:
Microsoft
Beveiliging TV
Data Management
CXO
Datacenters
0