DESCRIÇÃO DO PROGRAMA:

O Azure DevOps Services é um serviço de nuvem para colaboração no desenvolvimento de código. Ele abrange todo o ciclo de vida de desenvolvimento para ajudar os desenvolvedores a fornecer softwares mais rapidamente e com maior qualidade. O Azure DevOps Services tem o compromisso de fornecer segurança robusta e, como parte disso, acreditamos em estabelecer parcerias com pesquisadores de segurança e nossa comunidade de usuários. Convidamos pesquisadores qualificados a identificar vulnerabilidades de segurança em produtos e serviços direcionados do Azure DevOps e a compartilhá-los com nossa equipe. Envios qualificados poderão ganhar recompensas de USD 500 a USD 20.000. As recompensas serão concedidas a critério da Microsoft com base na gravidade e no impacto da vulnerabilidade e na qualidade do envio. Além disso, estão sujeitas aos Termos e Condições das Recompensas da Microsoft.

SERVIÇOS E PRODUTOS NO ESCOPO:

  • Azure DevOps Services (chamado anteriormente de Visual Studio Team Services)
  • As versões mais recentes disponíveis publicamente do Azure DevOps Server e do Team Foundation Server

O QUE CONSTITUI UM ENVIO QUALIFICADO?

A meta do Programa de Recompensas para a Localização de Bugs da Microsoft é descobrir vulnerabilidades significativas com impacto direto e demonstrável na segurança dos nossos clientes. Os envios de vulnerabilidades precisam atender aos seguintes critérios para qualificação para receber a recompensa:

  • Identificar uma vulnerabilidade não relatada anteriormente em um dos serviços ou produtos no escopo
  • Incluir etapas claras, concisas e reproduzíveis, por escrito ou em formato de vídeo
    • Forneça aos nossos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Isso permite que os envios sejam processados o mais rapidamente possível e possibilita prêmios de recompensa mais altos

A Microsoft poderá rejeitar qualquer envio que determinar (a seu critério exclusivo) não atender a esses critérios.

INTRODUÇÃO

Para saber mais sobre o Azure DevOps, confira nosso site de documentação.

Inscreva-se para uma conta do Azure DevOps ou baixe uma avaliação gratuita do Azure DevOps Server.

COMO OS VALORES DOS PRÊMIOS SÃO DEFINIDOS?

Os prêmios de recompensa vão de USD 500 até USD 20.000. É possível distribuir prêmios maiores, a critério da Microsoft, com base na qualidade e na complexidade do envio. Os pesquisadores com envios não qualificados para os prêmios ainda poderão se qualificar para reconhecimento público se o envio levar a uma correção de vulnerabilidade.

Impacto de segurança

Qualidade do relatório

Gravidade

Crítico

Importante

Moderado

Baixo

Execução remota de código

Alto

Média

Baixo

USD 20.000

USD 15.000

USD 10.000

USD 15.000

USD 10.000

USD 5.000

USD 0
USD 0

Elevação de privilégio

Alto

Média

Baixo

USD 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

USD 0

USD 0

Divulgação de informações confidenciais

Alto

Média

Baixo

USD 8.000

USD 4.000

USD 3.000

USD 5.000

USD 2.000

US$ 1.000

USD 0
USD 0

Falsificação

Alto

Média

Baixo

N/D

USD 3.000

USD 1.200

USD 500

USD 0
USD 0

Adulteração

Alto

Média

Baixo

N/D

USD 3.000

USD 1.200

USD 500

USD 0

USD 0

Negação de serviço
Alta/baixa

Fora do escopo

N/A: vulnerabilidades que resultam no impacto de segurança listado não se qualificam para esta categoria de severidade

Um relatório de alta qualidade fornece aos engenheiros as informações necessárias para reproduzir, entender e corrigir o problema rapidamente. Normalmente, isso inclui um texto ou um vídeo conciso com todas as informações de referência necessárias, uma descrição do bug e uma PoC (prova de conceito). Exemplos de relatórios de alta e baixa qualidade estão disponíveis aqui

Reconhecemos que alguns problemas são extremamente difíceis de reproduzir e entender e isso será considerado ao avaliar a qualidade de um envio.

VULNERABILIDADES NO ESCOPO

Veja a seguir exemplos de vulnerabilidades que podem levar a um ou mais dos impactos de segurança acima:

  • XSS (Cross-Site Scripting)
  • CSRF (Solicitação Intersite Forjada)
  • Violação ou acesso a dados entre locatários
  • Referências a objetos diretos inseguros
  • Desserialização insegura
  • Vulnerabilidades de injeção
  • Execução de código do servidor
  • Configuração incorreta significativa de segurança (quando não causada pelo usuário)
  • Uso de componentes com vulnerabilidades conhecidas
  • Violação ou acesso não autorizado a dados entre locatários

QUAIS SÃO AS REGRAS DO TESTE DO MICROSOFT ONLINE SERVICES QUALIFICADO PARA RECOMPENSA?

As seguintes atividades são proibidas no Programa de Recompensas do Microsoft Azure DevOps:

  • Qualquer tipo de teste de Negação de Serviço.
  • Executar testes automatizados de serviços que geram quantidades significativas de tráfego.
  • Obter acesso a qualquer dado que não seja totalmente seu. Por exemplo, você tem permissão e é incentivado a criar um pequeno número de contas de teste e/ou locatários de avaliação com a finalidade de demonstrar e provar o acesso a dados entre contas ou entre locatários. No entanto, é proibido usar uma dessas contas para acessar os dados de um cliente ou conta legítima.
  • Ir além das etapas de reprodução de "prova de conceito" para problemas de execução do servidor (por exemplo, provar que você tem acesso sysadmin com SQLi é aceitável, executar xp_cmdshell não é).
  • Tentativas de phishing ou outros ataques de engenharia social contra nossos funcionários. O escopo deste programa é limitado a vulnerabilidades técnicas nos produtos e serviços no escopo.
  • Usar nossos serviços de uma forma que viole os termos desses serviços.

Mesmo com essas proibições, a Microsoft se reserva o direito de responder a quaisquer ações em suas redes que pareçam mal-intencionadas.

VULNERABILIDADES FORA DO ESCOPO

O MSRC tem o prazer de receber e examinar cada envio caso a caso, mas alguns tipos de envio e de vulnerabilidade podem não estar qualificados para recompensas. Veja alguns dos problemas de baixa severidade ou fora do escopo que normalmente não ganham recompensas:

  • Vulnerabilidades divulgadas publicamente já relatadas à Microsoft ou já conhecidas pela comunidade de segurança como um todo (confira a Azure DevOps Developer Community como um recurso adicional)
  • Vulnerabilidades em qualquer versão diferente da Versão Prévia Pública e versões RC do Azure DevOps e do Azure DevOps Server
  • Vulnerabilidades baseadas na configuração ou na ação do usuário, por exemplo:
    • Vulnerabilidades baseadas em conteúdo gerado pelo usuário
    • Vulnerabilidades que exigem ações improváveis ou abrangentes do usuário
    • Configuração incorreta de segurança de um serviço por um usuário, como habilitar o acesso HTTP em uma conta de armazenamento para permitir ataques MiTM (man-in-the-middle).
    • Cabeçalhos de segurança HTTP ausentes (como X-FRAME-OPTIONS) ou sinalizadores de segurança de cookies (como "httponly")
  • Vulnerabilidades baseadas em terceiros, por exemplo:
    • Vulnerabilidades em softwares de terceiros fornecidos pelo Azure, como imagens da galeria e aplicativos de ISV
    • Vulnerabilidades em extensões de terceiros
    • Vulnerabilidades em tecnologias de plataformas que não são exclusivas ao Azure DevOps e ao Azure DevOps Server (por exemplo, IIS, OpenSSL, etc.)
  • Tipos de vulnerabilidade fora do escopo, incluindo:
    • Divulgação de informações confidenciais do servidor
    • Ataques de DoS (negação de serviço)
    • Vulnerabilidades de reprodução de cookie
    • Vulnerabilidades usadas para enumerar ou confirmar a existência de usuários ou locatários
  • Vulnerabilidades em outros produtos da Microsoft, por exemplo:
    • Vulnerabilidades no Hyper-V, como escapes de máquina virtual. Esses envios podem se qualificar para uma recompensa do Programa de Recompensas de Bypass de Mitigação ou do Programa de Recompensas do Hyper-V.
    • Confira a lista completa de Programas de Recompensas de outros produtos e serviços da Microsoft qualificados para recompensa. 

A Microsoft poderá rejeitar (a seu critério exclusivo) qualquer envio que se enquadre nessas categorias, mesmo se estiver qualificado para uma recompensa de outra forma.

COMO POSSO FAZER MEU ENVIO?

Faça o envio completo para a Microsoft usando o portal de envio do MSRC e as diretrizes de envio de bugs. Solicitamos que você siga a Divulgação de Vulnerabilidades Coordenada ao relatar todas as vulnerabilidades. Dedicaremos esforços razoáveis para esclarecer envios indecifráveis ou incompletos. 

Alguma pergunta? Sempre estamos disponíveis em secure@microsoft.com. 

PRÊMIOS DE RECOMPENSA

  • A Microsoft mantém um critério exclusivo para determinar os valores do prêmio e quais envios estão qualificados e no escopo.
  • Não há restrições quanto ao número de envios qualificados que um remetente pode fornecer ou o número de prêmios que um remetente pode receber.
  • Se recebermos muitos relatórios de bug para o mesmo problema de diferentes pessoas, a recompensa será concedida ao primeiro envio. 
  • Se um relatório duplicado fornecer novas informações desconhecidas anteriormente pela Microsoft, poderemos premiar o envio duplicado com um valor. 
  • Se um envio for possivelmente qualificado para vários programas de recompensas, você receberá o prêmio único de maior valor de somente um programa de recompensas. 

AVISO LEGAL

Para saber mais sobre os requisitos e as diretrizes legais do programa de recompensas da Microsoft, confira os Termos de Recompensa e as Perguntas frequentes.

HISTÓRICO DE REVISÃO

  • 17 de janeiro de 2019: lançamento do programa.