プログラムの説明

Microsoft は 2015 年 10 月 20 日、Visual Studio 2015 に付属する .NET Core CLR および ASP.NET 5 ベータ版の報奨金プログラムを発表しました。このプログラムは 2016 年 1 月 20 日に終了し、Microsoft は 2016 年 6 月 7 日にプログラムの後継プログラムを発表しました。後継プログラムでは、報奨金プログラム期間内にリリースされた .NET Core および ASP.NET Core ベータ版のビルドおよびすべての RTM バージョンが対象となります。世界中の個人ユーザーは、Windows、Linux、MacOS で実行されている .NET Core および ASP.NET Core の最新のリリース候補または RTM バージョンで検出された脆弱性の情報を報告することができます。提出内容が条件を満たす場合、500 米国ドルから 15,000 米国ドルまでの支払いを受ける資格があります。報奨金は、その品質と脆弱性の複雑さに基づいて Microsoft の裁量で支払われます。Microsoft は、提出内容の品質と複雑さによっては 15,000 米国ドルを超える料金を支払う場合もあります。

対象となる提出の条件

支払いの資格を得るには、Microsoft に提供される脆弱性に関する提出内容が次の基準を満たす必要があります。
  • Microsoft .NET Core、ASP.NET Core の最新の RC または RTM バージョン *、ASP.NET Web Tools Extension for Visual Studio 2015 で提供されている既定の ASP.NET Core テンプレート、または関連するサポート ドキュメントとサンプルにおいて、これまでに報告されていない新しい脆弱性が特定されている。
    例としては、CSRF 保護のバイパス、エンコード、データ保護エラー、クライアントへの情報漏えい、認証バイパス、リモートでのコード実行が含まれます。
    * 適格となるには、最新の RC または RTM バージョンで脆弱性が再現される必要があります
  • 容易に理解できる簡潔な再現手順が含まれている。(この情報により、提出内容を可能な限り迅速に処理できるようになり、報告される脆弱性の種類で最高金額が支払われる裏付けとなります)。
Microsoft は、(独自の裁量で) 提出内容がこのような条件を満たしていないと判断した場合に、提出を拒否することがあります。

支払額の設定方法

資格のある提出内容に対する支払額の範囲は、次の情報に基づきます。
ホワイトペーパー/レポートの品質
支払い範囲 (米国ドル)
リモートでのコード実行
必須
必須
高い
最大 15,000 ドル
必須
いいえ
高い
最大 6,000 ドル
必須
いいえ
低い 最大 1,500 ドル
セキュリティ設計の欠陥
必須
いいえ
高い
最大 10,000 ドル
必須
省略可能
高い
最大 5,000 ドル
必須
いいえ
低い 最大 1,500 ドル
特権の昇格
必須
必須
高い 最大 10,000 ドル
必須
いいえ
低い 最大 5,000 ドル
リモート DoS
必須
省略可能
高い 最大 5,000 ドル
必須
いいえ
低い 最大 2,500 ドル
改ざん/スプーフィング
必須
省略可能
高い 最大 5,000 ドル
必須
いいえ
低い 最大 2,500 ドル
情報漏えい
必須
省略可能
高い 最大 2,500 ドル
必須
いいえ
低い 最大 750 ドル
テンプレート CSRF または XSS
必須
省略可能
高い 最大 2,000 ドル
必須
省略可能
低い
500 ドル
ドキュメントまたはドキュメントに含まれているサンプルが、安全でないかセキュリティの欠如を助長しており、セキュリティが考慮されていないサンプルであることが記載されていない
必須
省略可能
高い
最大 1,000 ドル
必須
省略可能
低い
最大 500 ドル

*Microsoft の独自の裁量で、提出内容の品質と複雑さに基づいて、支払額が増える可能性もあります。

不適格な提出となる条件

 
バグ報奨金プログラムの目的は、Microsoft のユーザーおよびユーザーのデータのセキュリティに直接的で明白な影響を与える重大な脆弱性を見つけることです。Microsoft は、当社の ASP.NET のセキュリティの脆弱性について説明する提出内容をお待ちしていますが、このプログラムの報奨金が得られない脆弱性の例を次に示します。
 
  • Microsoft およびより広いセキュリティ コミュニティで既に知られている公開済みの脆弱性
  • .NET Core および ASP.NET の現在公開されているベータ版より前のものの脆弱性
  • ASP.NET のリリース済みバージョンの脆弱性
  • ユーザー生成コンテンツの脆弱性
  • 広範囲に及ぶユーザー操作またはありそうもないユーザー操作を必要とする脆弱性
  • 組み込みの軽減メカニズムを無効にするか、使用しない脆弱性
  • 影響の小さい CSRF のバグ
  • サーバー側の情報漏えい
  • .NET Core または ASP.NET に固有ではないプラットフォーム テクノロジの脆弱性 (IIS や OpenSSL など)
Microsoft は、提出内容が報奨金の対象である場合でも、当社の独自の裁量で脆弱性のこれらのカテゴリのいずれかに該当すると判断した提出を却下する権利を留保します。

提出方法

.Net Core は、
https://www.microsoft.com/net/download
からインストールでき、ソースは
https://github.com/dotnet
および
https://github.com/aspnet
から入手できます。

MSRC 提出ポータルおよびバグ提出のガイドラインを使用して、Microsoft に完全な提出物を送信します。すべての脆弱性の報告において、協調的な脆弱性の公開に従うようにしてください。Microsoft では、解読できない提出や不完全な提出を明確にするために、合理的な努力を行います。

ご質問がありましたらsecure@microsoft.com までお気軽にお問い合わせください。

報奨金の支払い

報奨金は、品質と脆弱性の複雑さに基づいて、Microsoft の裁量で支払われます。Microsoft は、どの提出内容が条件を満たすかの決定において単独裁量権を保持しています。Microsoft は、どの提出内容が条件を満たすかの決定において単独裁量権を保持しています。資格要件を満たす提出内容に対して支払われる報奨金は、最低 500 米国ドル、最大で 15,000 米国ドルです。個々の提出者が提供できる適格な提出の数や、支払いを受ける件数に制限はありません。同じ問題に対して複数のバグ報告を複数の参加者から受信した場合、報奨金は最初の提出に対して付与されます。

法的通知

Microsoft の法律上のガイドラインに関する追加情報を入手するには、こちらにアクセスしてください。
 

Microsoft バグ報奨金プログラムにご参加いただきありがとうございます。

リビジョン履歴

  • 2018 年 10 月 16 日ソースへの Github リンクを追加するために更新しました