프로그램 설명:

Azure DevOps Services는 협업을 통해 코드를 개발하기 위한 클라우드 서비스입니다. 개발자가 더 높은 품질의 소프트웨어를 더 빠르게 제공할 수 있도록 지원하기 위해 광범위한 개발 수명 주기에 걸쳐 있습니다. Azure DevOps Services에서는 견고한 보안을 제공하려고 하며, 이러한 노력의 일환으로 Microsoft는 보안 연구원 및 사용자 커뮤니티와의 긴밀한 파트너 관계가 도움이 된다고 믿습니다. 대상으로 지정된 Azure DevOps Services 및 제품의 보안 취약성을 확인하고 팀과 공유하도록 적격 연구원을 초대합니다. 적격한 제출은 $500~$20,000(USD)의 장려금 보상을 받을 수 있습니다. 취약성의 심각도 및 영향과 제출 품질을 기준으로 Microsoft의 판단에 따라 장려금이 지급되며,  Microsoft 장려금 사용 약관 이 적용됩니다.

범위 내 서비스 및 제품:

  • Azure DevOps Services(이전의 Visual Studio Team Services)
  • Azure DevOps Server 및 Team Foundation Server의 최신 일반 공급 버전

적격 제출의 조건

Microsoft 버그 장려금 프로그램의 목표는 고객의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 파악하는 것입니다. 취약성 제출의 경우 다음 조건을 충족해야 장려금을 받을 수 있습니다.

  • 범위 내 서비스 또는 제품 중 하나에서 이전에 신고되지 않은 취약성을 확인합니다.
  • 명확하고 간결하며 재현 가능한 단계를 문서나 동영상 형식으로 포함합니다.
    • 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 엔지니어에게 제공합니다. 이렇게 하면 제출을 최대한 빠르게 처리할 수 있으며, 더 많은 금액의 장려금이 지급됩니다.

Microsoft는 이러한 조건을 충족하지 않는다고 확인된 모든 제출을 단독 판단에 따라 거부할 수 있습니다.

시작

Azure DevOps에 대한 자세한 내용은 문서 사이트를 참조하세요.

Azure DevOps 계정을 등록하거나 Azure DevOps Server 평가판을 다운로드합니다.

장려금 설정 방법

장려금 수급 범위는 $500~$20,000입니다. 항목 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액의 장려금이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있습니다.

보안 영향

신고서 품질

심각도

중요

중요

보통

낮음

원격 코드 실행

높음

중간

낮음

$20,000

$15,000

$10,000

$15,000

$10,000

$5,000

$0
$0

권한 상승

높음

중간

낮음

$ 8,000

$ 4,000

$ 3,000

$5,000

$2,000

$1,000

$0

$0

정보 공개

높음

중간

낮음

$ 8,000

$ 4,000

$ 3,000

$5,000

$2,000

$1,000

$0
$0

스푸핑

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0
$0

변조

높음

중간

낮음

N/A

$3,000

$1,200

$500

$0

$0

서비스 거부
높음/낮음

범위 외

해당 없음: 나열된 보안 영향이 발생하는 취약성이 이 심각도 범주에 해당하지 않습니다.

높은 품질의 신고서는 엔지니어가 문제를 빠르게 재현, 파악 및 해결하는 데 필요한 정보를 제공합니다. 이렇게 하려면 일반적으로 필요한 배경 정보, 버그 설명, PoC(개념 증명)가 포함된 간결한 문서나 동영상을 포함합니다. 여기에서 높은 품질과 낮은 품질의 신고서 샘플을 확인할 수 있습니다. 

일부 문제는 재현 및 파악하기가 매우 어렵다는 것을 인정하며, 제출 품질을 평가할 때 고려됩니다.

범위 내 취약성

다음은 위의 보안 영향 중 하나 이상이 발생할 수 있는 취약성의 예입니다.

  • XSS(교차 사이트 스크립팅)
  • CSRF(교차 사이트 요청 위조)
  • 교차 테넌트 데이터 변조 또는 액세스
  • 안전하지 않은 직접 개체 참조
  • 안전하지 않은 deserialization
  • 삽입 취약성
  • 서버 쪽 코드 실행
  • 잘못된 중요 보안 구성(사용자로 인해 발생한 경우 제외)
  • 알려진 취약성이 있는 구성 요소 사용
  • 권한 없는 교차 테넌트 데이터 변조 또는 액세스

장려금 적격 MICROSOFT ONLINE SERVICES 테스트를 규정하는 규칙

다음 활동은 Microsoft Azure DevOps 장려금 프로그램에서 허용되지 않습니다.

  • 모든 종류의 서비스 거부 테스트
  • 상당한 양의 트래픽을 생성하는 자동화된 서비스 테스트 수행
  • 소유하지 않은 데이터 액세스. 예를 들어 계정 간 또는 테넌트 간 데이터 액세스를 시연하고 증명할 목적으로 소수의 테스트 계정 및/또는 평가판 테넌트를 만들 수 있으며 이러한 작업은 장려됩니다. 그러나 이러한 계정 중 하나를 사용하여 합법적인 고객이나 계정의 데이터에 액세스하는 것은 허용되지 않습니다.
  • 서버 쪽 실행 문제에 대해 “개념 증명” 재현 단계 이상의 활동(예: SQLi를 사용하여 sysadmin 액세스 권한이 있음을 증명할 수 있지만 xp_cmdshell을 실행할 수는 없음)
  • Microsoft 직원에 대한 피싱 또는 기타 소셜 엔지니어링 공격 시도. 이 프로그램의 범위는 범위 내 제품과 서비스의 기술 취약성으로 제한됩니다.
  • 서비스의 사용 약관을 위반하는 방식의 서비스 사용

이러한 금지 사항과 별도로, Microsoft는 악의적인 것으로 보이는 모든 네트워크 활동에 대응할 수 있는 권리가 있습니다.

범위 외 취약성

MSRC는 사례별로 모든 제출을 받고 검토하지만, 일부 제출과 취약성 유형은 장려금 보상에 부적합할 수 있습니다. 다음은 일반적으로 장려금 보상을 받지 못하는 몇 가지 일반적인 낮은 심각도 또는 범위 외 문제입니다.

  • Microsoft에 이미 신고되었거나 광범위한 보안 커뮤니티에 이미 알려져 있는 공개된 취약성(추가 리소스로 Azure DevOps Developer Community 참조)
  • Azure DevOps 및 Azure DevOps Server 공개 미리 보기와 RC 릴리스 이외의 모든 버전에 있는 취약성
  • 사용자 구성 또는 작업을 기반으로 하는 취약성. 예:
    • 사용자 생성 콘텐츠 기반의 취약성
    • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성
    • MiTM(메시지 가로채기) 공격에 허용할 스토리지 계정에 대해 HTTP 액세스를 사용하도록 설정하는 등 사용자가 수행한 잘못된 서비스 보안 구성
    • 누락된 HTTP 보안 헤더(예: X-FRAME-OPTIONS) 또는 쿠키 보안 플래그(예: “httponly”)
  • 타사를 기반으로 하는 취약성. 예:
    • Azure에서 제공하는 타사 소프트웨어(예: 갤러리 이미지, ISV 애플리케이션)의 취약성
    • 타사 확장의 취약성
    • Azure DevOps 및 Azure DevOps Server에 고유하지 않은 플랫폼 기술(예: IIS, OpenSSL 등)의 취약성
  • 다음을 비롯한 범위 외 취약성 유형:
    • 서버 쪽 정보 공개
    • DoS(서비스 거부) 공격
    • 쿠키 재생 취약성
    • 사용자 또는 테넌트의 존재를 확인하거나 열거하는 데 사용되는 취약성
  • 다른 Microsoft 제품의 취약성. 예:
    • 가상 머신 이스케이프와 같은 Hyper-V의 취약성 이 제출의 경우 완화 바이패스 장려금 프로그램 또는 Hyper-V 장려금 프로그램을 통해 장려금을 받을 수 있습니다.
    • 다른 장려금 적격 Microsoft 제품과 서비스를 보려면 장려금 프로그램의 전체 목록을 참조하세요.  

Microsoft는 단독 판단에 따라 이러한 범주에 해당한다고 확인되면, 장려금을 받을 수 있는 경우에도 제출을 거부할 수 있습니다.

제출 제공 방법

MSRC 제출 포털버그 제출 지침을 사용하여 전체 제출 내용을 Microsoft로 보내세요. 모든 취약성을 신고할 때는 Coordinated Vulnerability Disclosure를 따를 것을 요청합니다. Microsoft는 이해하기 어렵거나 불완전한 제출 내용을 파악하기 위해 합리적인 노력을 합니다.  

질문이 있는 경우 언제든지 secure@microsoft.com으로 문의하세요. 

장려금 지급 규정

  • Microsoft는 단독 판단에 따라 장려금 및 범위 내 적격 제출을 결정합니다.
  • 개별 제출자가 제공할 수 있는 적격한 제출 수 또는 제출자가 받을 수 있는 장려금 횟수에는 제한이 없습니다.
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 최초 제출에 지급됩니다. 
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급될 수 있습니다. 
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램의 가장 많은 장려금 하나를 받게 됩니다. 

법적 고지 사항

Microsoft 장려금 프로그램 요구 사항 및 법적 지침에 대한 자세한 내용은 장려금 사용 약관FAQ를 참조하세요.

수정 기록

  • 2019년 1월 17일: 프로그램을 시작했습니다.