На днях Microsoft объявила о запуске программы Bug Bounty для продуктов .NET Core и ASP.NET Beta, входящих в комплект разработчика Visual Studio.

Программа будет активна до 20 января, а сумма награды колеблется от $500 до $15 тыс.

По заявлениям представителей компании, под охват программы попадают только основная среда исполнения .NET [CoreCLR] и бета-версии ASP.NET.

«Данная программа интересна тем, что библиотеки и функции, входящие в состав .NET, позволяют разработчикам писать программы, которые отличаются повышенной безопасностью и надежностью и работают на многих операционных системах, — пишет в блог-записи Джейсон Ширк (Jason Shirk), директор Microsoft Security Response Center (MSRC). — Под охват программы изначально попадают версии для Linux и OS X, а со временем попадут и все поддерживаемые операционные системы, за исключением некоторых платформ».

Новейшая Bug Bounty является уже четвертой подобной программой, поддерживаемой Microsoft. Bug Bounty для онлайн-сервисов, таких как Office 365 и Azure, была запущена 23 сентября 2014 года. Помимо этой активны еще две программы: одна — по поиску обходов защиты, такой как ASLR, DEP, SEHOP; вторая — по разработке способов обороны. Microsoft выплачивает до $100 тыс. по этим двум программам, однако в рамках Bug Bounty для онлайн-сервисов можно получить не более $15 тыс.

Новейшая Bug Bounty является уже второй программой по поиску специфических уязвимостей в программных продуктах. До появления программы для онлайн-сервисов Microsoft платила лишь за оригинальные защитные техники и обходы защитных мер, стараясь избегать более агрессивных форм исследований.

Компания уже выплатила несколько шестизначных премий в рамках Bounty for Defense и Mitigation Bypass, а также заплатила $200 тыс. исследователю, разработавшему механизм противодействия ROP-атакам (return-oriented programming).

Категории: Кибероборона, Уязвимости