Skip to main content

Microsoft .NET Core および ASP.NET Core のバグ報奨金プログラムの利用規約

プログラムの説明

2016 年 9 月 1 日に開始した実施中の .NET Core および ASP.NET Core のバグ報奨金プログラムについてお知らせします。プログラムの期間中、Windows、Linux、MacOS で稼働する .NET Core および ASP.NET Core の最新リリース候補または RTM バージョンで見つかった脆弱性を、secure@microsoft.com までメールで連絡していただくことをお勧めします。現在のベータ版および今後の RTM バージョンは、 https://dot.net/ からインストールできます。

質および脆弱性の複雑さを Microsoft が判断し、$500 ~ $15,000 米国ドルをお支払いします。とても質の高い申請については、弊社の裁量で $15,000 米国ドルを超える額を支払うこともあります。

支払いの対象となる提出内容の構成

支払いの対象となるためには、提出内容が次の条件を満たしている必要があります。

  • レポートでは、Microsoft .NET Core および ASP.NET Core の最新の RTM バージョンまたはサポートされるベータまたは RC リリース、および Visual Studio 2015 以降用の ASP.NET Web ツール拡張機能で提供される既定の ASP.NET Core テンプレートにおける、これまでに報告されていない新しい脆弱性が示されている必要があります。
  • 脆弱性の例としては、CSRF 保護のバイパス、エンコード、データ保護の失敗、クライアントへの情報の開示、認証のバイパス、リモート コード実行などがあります。
  • 脆弱性は、最新の RTM バージョンまたは現在の RTM バージョン以上でサポートされているベータ版や RC リリースにおいて、提出され、かつ、再現される必要があります。
  • 脆弱性を簡単に再現できるようにするため、脆弱性を再現するための完全で簡単に理解できる説明を含めることをお願いします。支払いに関する以下の表で示されているように、説明の質が高いほど、支払われる報奨が高くなります。

Microsoft は、これらの条件を満たしていないと判断した提出を拒否する場合があります。

支払い金額の設定方法

  • Microsoft は報告内容の質と脆弱性の複雑さに基づいて判断し、$500 ~ $15,000 米国ドルの範囲の報奨をお支払いします。対象となる提出の決定は、Microsoft 独自の裁量で行います。
  • 異なる提出者から同じ問題に対する複数のバグ報告を受け取った場合、前述の基準に基づいて最初の提出に与えられます
  • Microsoft がこれまで認識していなかった新しい情報が複数のレポートで提供された場合は、重複する提出に個別に支払います。
  • 内部的に既知の問題に対して受け取った最初の外部レポートには、最高で $1,500 米国ドルを支払います。
  • 提出者が脆弱性の提出に対する報奨の受け取りを辞退される場合は、提出者と協議の上、承認済みの慈善事業に報奨金を寄付します。

認定された提出に対する支払いの範囲は、次の条件に基づきます。

脆弱性の種類概念実証機能する悪用コードホワイトペーパー/レポートの質支払範囲 (米国ドル)
リモート コード実行必須必須最高 $15,000
必須いいえ最高 $6,000
必須いいえ最高 $1,500
セキュリティ設計の欠陥必須必須最高 $10,000
必須省略可能最高 $5,000
必須いいえ最高 $1,500
特権の昇格必須必須最高 $10,000
必須いいえ最高 $5,000
リモート DoS必須省略可能最高 $5,000
必須いいえ最高 $2,500
改ざん/なりすまし必須省略可能最高 $5,000
必須いいえ最高 $2,500
情報漏洩必須省略可能最高 $2,500
必須いいえ最高 $750
テンプレート CSRF または XSS必須省略可能最高 $2,000
必須省略可能最高 $500

* 申請の質と複雑さに基づき、Microsoft 単独の裁量により、さらに高額が支払われる可能性があります

支払いの対象とならない提出内容の構成

バグ報奨金プログラムの目的は、ユーザーとユーザーのデータのセキュリティに直接的かつ実証可能な影響を与える重大な脆弱性を明らかにすることです。ASP.NET のセキュリティの脆弱性について説明されているあらゆる提出を歓迎しますが、このプログラムでは報奨が支払われない脆弱性の例を次に示します。

  • Microsoft および幅広いセキュリティ コミュニティが既に認識している一般に公開されている脆弱性
  • ユーザー生成コンテンツにおける脆弱性
  • 広範な、またはほとんど可能性のないユーザー操作を必要とする脆弱性
  • 組み込まれている軽減メカニズムを無効にする、または使用しない脆弱性
  • 影響が小さい CSRF バグ
  • サーバー側での情報の開示
  • .NET Core または ASP.NET Core に固有ではないプラットフォーム テクノロジの脆弱性 (IIS、OpenSSL など)

Microsoft は、他の点では報奨の対象になる場合であっても、Microsoft 単独の裁量によってこれらの脆弱性カテゴリのいずれかに該当すると判断された提出を拒否する権利を保有します。

.NET および ASP.NET のバグ報奨金プログラムのタイムライン

プログラム名開始日終了日お知らせリンク
CoreCLR および ASP。NET 5 Technical Preview 報奨金2015 年 10 月 20 日2016 年 1 月 20 日 https://blogs.msdn.microsoft.com/webdev/2015/10/20/net-core-and-asp-net-launches-a-beta-bug-bounty-program/
NET Core and ASP.NET Core RC2 Bug Bounty2016 年 6 月 7 日2016 年 9 月 7 日 https://blogs.msdn.microsoft.com/webdev/2016/06/07/announcing-a-new-net-and-asp-net-core-bug-bounty/
Microsoft .NET Core and ASP.NET Core Bug Bounty2016 年 9 月 1 日実施中 https://blogs.msdn.microsoft.com/webdev/2016/09/01/announcing-the-ongoing-bug-bounty-for-net-core-and-asp-net-core/

報奨金プログラムについてよく寄せられる質問とプログラムの要件

提出者は、 Microsoft 報奨金プログラムのよく寄せられる質問に記載されている包括的条件を遵守する責任があります。 以下に関する詳細については、「 Microsoft バグ報奨金プログラムについてよく寄せられる質問」を参照してください。

  1. Microsoft にバグを報告する
  2. Microsoft の優先順位付けおよび支払プロセス
  3. 参加資格の条件
  4. 報奨金支払いポリシー
  5. 守秘義務
  6. Microsoft のプライバシーに関する声明と法的な注意事項
  7. Microsoft の各種報奨金プログラムに関するその他の質問

Microsoft バグ報奨金プログラムに参加していただき、ありがとうございます!

MSRC ブログ

Microsoft .NET Core および ASP.NET Core のバグ報奨金プログラムの利用規約

SRD ブログ

Microsoft .NET Core および ASP.NET Core のバグ報奨金プログラムの利用規約