Microsoft Edge(EdgeHTML) 장려금 프로그램은 2020년 3월 15일에 종료됩니다.

장려금은 2020년 2월 23일 이전에 접수된 적격 제출에 대해 제공됩니다. 2020년 2월 24일부터 3월 15일까지 접수된 적격 제출에 대해서는 적격 장려금의 50%가 제공됩니다. 2020년 3월 15일 후에 접수된 제출에는 장려금이 제공되지 않습니다. 3월 15일 후에는 연구원 인정 프로그램에 따라 적격 제출에 포인트가 계속 제공됩니다.

Edge 브라우저 연구에 대한 장려금을 받는 데 관심이 있는 경우 Microsoft Edge(Chromium 기반) 장려금 프로그램에 참여하세요. 

프로그램 설명

Microsoft Edge(EdgeHTML) 장려금 프로그램은 Windows 10 Insider Preview 이후 링에 포함된 EdgeHTML 기반의 Microsoft Edge에서 발견된 취약성을 제출하는 전 세계 개인을 환영합니다. 적격한 제출은 $500~$15,000(USD)의 장려금 보상을 받을 수 있습니다. 취약성의 복잡성과 품질을 기준으로 Microsoft의 판단에 따라 장려금이 지급되며, Microsoft 장려금 사용 약관이 적용됩니다.
 
Windows 10 Insider Preview 업데이트는 다양한 링으로 테스터에게 제공됩니다. 장려금 프로그램의 경우 Windows Insider Preview 이후 링의 버그를 제출할 것을 요청합니다. 자세한 내용은  https://insider.windows.com/  및  https://insider.windows.com/Home/GetStarted를 확인하세요.
 

적격 제출의 조건

Microsoft 버그 장려금 프로그램의 목표는 고객의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 파악하는 것입니다. 취약성 제출의 경우 다음 조건을 충족해야 장려금을 받을 수 있습니다.
  • WIP 이후에 있는 EdgeHTML 기반의 최신 Microsoft Edge에서 이전에 신고되지 않은 새로운 취약성을 확인합니다.
    • 제출에는 취약성이 재현되는 WIP 이후 빌드 번호가 포함되어야 합니다.
  • 쉽게 이해할 수 있는 간결한 재현 단계를 포함합니다.
    • (이렇게 하면 제출을 최대한 빠르게 처리할 수 있으며, 신고되는 취약성 유형에 대한 최고 금액이 지급됩니다.)
  • 제출과 함께 PoC(개념 증명)를 제공해야 합니다.

지급액 설정 방법

장려금 수급 범위는 $500~$25,000입니다. 항목 품질 및 복잡성을 기준으로 Microsoft의 단독 판단에 따라 더 많은 금액의 장려금이 지급될 수 있습니다. 장려금을 받을 수 없는 제출을 제공하는 연구원도 제출 내용을 통해 취약성이 수정될 경우 공개적으로 인정을 받을 수 있습니다.
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 위에서 설명한 조건에 따라 최초 제출에 지급됩니다.
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급됩니다.
  • “중간” 수준의 심각도만 발생할 수 있는 새로 발견된 취약성도 장려금 지급에 고려될 수 있습니다.
취약성 유형

높은 품질*

기준**

원격 코드 실행 최대 $15,000 $500~$5,000
동일 원본 정책 위반(유니버설 XSS) 최대 $6,000 $500~$2,000
정보 공개 최대 $5,000 $500~$1,000
기타 새로운 취약성(CSP 바이패스, 참조 페이지 스푸핑 등) 최대 $2,000 최대 $500
 
* 위에서 간략하게 설명한 제출 조건의 모든 지침을 충족하고, 높은 품질의 PoC와 공격자가 발견한 취약성을 사용자에 대해 활용할 수 있는 방식을 포함합니다.
** 위에서 간략하게 설명한 제출 조건의 모든 지침을 충족하지만 자세한 정보가 없거나 PoC의 품질이 낮습니다.

적격 제출의 정의:

개념 증명
취약성을 확실하게 재현하는 데 필요한 파일과 단계입니다.
 
원격 코드 실행
디바이스의 지리적 위치와 관계없이 공격자가 다른 사람의 컴퓨팅 디바이스에 액세스하여 변경할 수 있는 Microsoft Edge(EdgeHTML) WIP 이후의 취약성입니다.

부적격 제출의 조건

버그 장려금 프로그램의 목표는 사용자 및 사용자 데이터의 보안에 직접적이고 시연 가능한 영향을 주는 중요한 취약성을 파악하는 것입니다. 브라우저의 보안 취약성을 설명하는 제출을 장려하지만, 다음과 같은 경우에는 이 프로그램에서 장려금 보상을 받을 수 없습니다.
  • 최신 WIP 이후 빌드보다 이전 버전의 취약성
  • 모든 Internet Explorer 버전의 취약성
  • Chromium 기반의 모든 Microsoft Edge 버전에 있는 취약성
  • 사용자 생성 콘텐츠의 취약성
  • 광범위하거나 발생 가능성이 없는 사용자 작업이 필요한 취약성
  • MemGC(메모리 가비지 수집기)가 꺼진 상태의 취약성
  • 기존 브라우저 보안 기능을 사용하지 않도록 설정하여 발견된 취약성
  • about:flags에 나열된 취약성과 같은 실험적 기능의 취약성
Microsoft는 단독 판단에 따라 이러한 취약성 범주에 해당한다고 확인되면, 장려금을 받을 수 있는 경우에도 제출을 거부할 수 있는 권리가 있습니다.

제출 제공 방법

MSRC 제출 포털버그 제출 지침을 사용하여 전체 제출 내용을 Microsoft로 보내세요. 모든 취약성을 신고할 때는 Coordinated Vulnerability Disclosure를 따를 것을 요청합니다. Microsoft는 이해하기 어렵거나 불완전한 제출 내용을 파악하기 위해 합리적인 노력을 합니다.  

질문이 있는 경우 언제든지 secure@microsoft.com으로 문의하세요. 

장려금 지급 규정

  • Microsoft는 단독 판단에 따라 장려금 및 범위 내 적격 제출을 결정합니다.
  • 개별 제출자가 제공할 수 있는 적격한 제출 수 또는 제출자가 받을 수 있는 장려금 횟수에는 제한이 없습니다.
  • 각기 다른 사람으로부터 동일한 문제에 대한 버그 신고서를 여러 개 받을 경우 장려금은 최초 제출에 지급됩니다. 
  • 중복된 신고서에서 이전에 Microsoft에 알려지지 않은 새로운 정보를 제공하는 경우 중복 제출에도 차등 장려금이 지급될 수 있습니다. 
  • 제출이 잠재적으로 여러 장려금 프로그램에 적합한 경우, 단일 장려금 프로그램의 가장 많은 장려금 하나를 받게 됩니다.

법적 고지 사항

Microsoft 장려금 프로그램 요구 사항 및 법적 지침에 대한 자세한 내용은 장려금 사용 약관FAQ를 참조하세요.
 

Microsoft 버그 장려금 프로그램에 참여해 주셔서 감사합니다.

 

수정 기록

  • 2016년 8월 4일: 장려금 프로그램을 시작했습니다.
  • 2018년 12월 7일: 수정 기록 섹션을 추가하고 프로그램 소개를 업데이트했습니다.
  • 2019년 4월 8일: 범위 내 버전을 Microsoft Edge(EdgeHTML)만으로 업데이트했습니다. 장려금 지급 설명과 섹션 소개를 업데이트했습니다. 
  • 2020년 1월 23일: 프로그램이 2020년 3월 15일에 종료됩니다.