Microsoft активизирует общие усилия по поиску багов в компонентах разработки для Visual Studio. На прошлой неделе компания расширила спектр своей программы выплат вознаграждений, добавив в список для исследования платформы .NET Core и ASP.NET Core.

Выпуск .NET Core и ASP.NET Core состоялся в конце июня текущего года. .NET Core представляет собой небольшую среду исполнения, лежащую в основе ASP.NET Core, с портами для Linux, OS X и FreeBSD. ASP.NET Core — это фреймворк с открытым исходным кодом, предназначенный для создания кросс-платформенных веб-приложений, способных работать на Windows, Linux, Mac OS X.

По заявлению Microsoft, новые обязательства по выплатам будут действовать «бессрочно» и распространяются, в частности, на Windows- и Linux-версии названных платформ. Суммы наград составят от $500 до $15 тыс.; аналогичные премии были назначены в рамках прошлогодней Bug Bounty для ознакомительных версий .NET Core и ASP.NET 5 Beta, ее срок действия окончился 20 января.

«За время работы программ RC1 и RC2 нам представили несколько интересных, курьезных и даже озадачивших нас багов, которые уже исправлены, — отметил в блоге компании аналитик Барри Дорранс (Barry Dorrans), специализирующийся на проблемах с безопасностью фреймворка .NET. — В рамках RC1 был подан отчет, из-за которого пришлось полностью переписать функцию, чтобы облегчить разработчикам ее успешное использование».

Согласно расширенной версии Bug Bounty, оплате, в частности, подлежат «критические и важные уязвимости», обнаруженные в новейших версиях .NET Core и ASP.NET Core, как уже готовых к эксплуатации, так и предвыпускных или находящихся на стадии бета-тестирования. Список новых продуктов включает новый кросс-платформенный сервер Kestrel и дефолтный набор шаблонов ASP.NET Core, поставляемый в комплекте с ASP.NET Web Tools Extension для Visual Studio 2015 и более поздних выпусков.

Параллельно с анонсом, датированным 1 сентября, было опубликовано более подробное описание новой инициативы. Microsoft обещает платить до $10 тыс. за баги «высокого качества» в .NET Core и ASP.NET Core, грозящие нарушением безопасности или успешным повышением привилегий. До $5 тыс. будут оцениваться удаленный отказ в обслуживании и манипуляция данными или их подмена. За баги вроде CSRF и XSS исследователи смогут получить от $500 до $2 тыс.

Категории: Кибероборона, Уязвимости