Microsoft je značajno unaprijedio svoj .NET bounty program , najavljujući značajna ažuriranja koja proširuju opseg programa, pojednostavljuju strukture nagrađivanja i pružaju veće podsticaje za istraživače sajber sigurnosti.
Unaprijeđeni program sada nudi nagrade do 40.000 američkih dolara za identifikaciju kritičnih ranjivosti unutar .NET ekosistema, što predstavlja veliku posvećenost jačanju sigurnosnog okvira jedne od najkorištenijih razvojnih platformi na svijetu.
Prošireni opseg i pokrivenost programa
Ažurirani .NET Bounty program uvodi sveobuhvatnu pokrivenost u cijelom Microsoftovom razvojnom ekosistemu.
Program sada obuhvata sve podržane verzije .NET-a i ASP.NET-a, proširujući svoj doseg kako bi uključio susjedne tehnologije kao što su programski jezik F# i podržane verzije ASP.NET Core-a za .NET Framework.
Osim toga, opseg uključuje predloške koji se pružaju s podržanim verzijama .NET i ASP.NET Core, kao i GitHub akcije unutar .NET i ASP.NET Core repozitorija.
Ovo proširenje odražava Microsoftovo prepoznavanje međusobno povezane prirode modernih razvojnih okvira, gdje ranjivosti u jednoj komponenti mogu potencijalno uticati na cijele ekosisteme aplikacija.
Uključivanje Blazor i Aspire tehnologija u opseg nagradne igre pokazuje Microsoftovu posvećenost osiguravanju novih okvira za web razvoj i platformi za aplikacije zasnovanih na oblaku.
Istraživači sigurnosti sada mogu ciljati širi spektar vektora napada, od tradicionalnih ranjivosti na strani servera do sigurnosnih nedostataka na strani klijenta u modernim jednostraničnim aplikacijama.
Microsoft je implementirao višeslojnu strukturu nagrada koja povezuje iznose nagrada s ozbiljnošću ranjivosti i kvalitetom izvještaja.
Novi okvir kategorizuje sigurnosne uticaje u specifične tipove, uključujući udaljeno izvršavanje koda, povećanje privilegija, zaobilaženje sigurnosnih funkcija, udaljeno uskraćivanje usluge, lažiranje ili manipulisanje i otkrivanje informacija.
Kritične ranjivosti udaljenog izvršavanja koda s potpunim iskorištavanjem mogu istraživačima donijeti maksimalnu nagradu od 40.000 dolara, dok ranjivosti na važnom nivou iste kategorije mogu dobiti 30.000 dolara.
| Utjecaj na sigurnost | Kvalitet izvještaja | Kritično | Važno |
| Udaljeno izvršavanje koda | Završeno | 40.000 dolara | 30.000 dolara |
| Nije završeno | 20.000 dolara | 20.000 dolara | |
| Povećanje privilegija | Završeno | 40.000 dolara | 10.000 dolara |
| Nije završeno | 20.000 dolara | 4.000 dolara | |
| Zaobilaženje sigurnosnih funkcija | Završeno | 30.000 dolara | 10.000 dolara |
| Nije završeno | 20.000 dolara | 4.000 dolara | |
| Udaljeno uskraćivanje usluge | Završeno | 20.000 dolara | 10.000 dolara |
| Nije završeno | 15.000 dolara | 4.000 dolara | |
| Lažno predstavljanje ili manipulacija | Završeno | 10.000 dolara | 5.000 dolara |
| Nije završeno | 7.000 dolara | 3.000 dolara | |
| Objavljivanje informacija | Završeno | 10.000 dolara | 5.000 dolara |
| Nije završeno | 7.000 dolara | 3.000 dolara | |
| Problemi sa sigurnošću dokumentacije* | Završeno | 10.000 dolara | 5.000 dolara |
| Nije završeno | 7.000 dolara | 3.000 dolara |
Program uvodi binarni sistem klasifikacije za kvalitet izvještaja, razlikujući “potpune” prijave koje uključuju potpuno funkcionalne propuste i “nepotpune” prijave koje predstavljaju teorijske scenarije.
Ovaj pristup podstiče istraživače da pruže praktične obavještajne podatke koji omogućavaju Microsoftovim sigurnosnim timovima da efikasno razumiju i saniraju ranjivosti .
Struktura nagrada također se bavi pitanjima sigurnosti dokumentacije, nudeći nagrade za identificiranje nesigurnih praksi kodiranja u službenoj dokumentaciji koje bi mogle zavarati programere.
Ovo strateško unapređenje .NET Bounty programa naglašava Microsoftov proaktivni pristup sajber sigurnosti, koristeći globalnu istraživačku zajednicu za identifikaciju i rješavanje potencijalnih sigurnosnih ranjivosti prije nego što se one mogu zlonamjerno iskoristiti.
Izvor: CyberSecurityNews