22.01.2019
Microsoft запускает программу вознаграждений за ошибки Azure DevOps, предлагается вознаграждение в размере 20 000 $. Корпорация очень сильно заинтересована в исправлении недостатков кода
Microsoft запустила новую программу вознаграждения за ошибки для облачной службы Azure DevOps с вознаграждением до 20 000 $
В четверг Microsoft сообщила, что схема вознаграждения за ошибки теперь открыта для исследователей, желающих помочь повысить безопасность Azure DevOps, облачной платформы, используемой для целей совместной разработки кода.
DevOps Azure используется разработчиками по всему миру для работы над проектами, связанными с кодом, и включает в себя тестовые конвейеры, доступ к Git-репо, создание пакетов и артефактов, а также инструменты тестирования.
По словам старшего руководителя программы Microsoft Security Response Center (MSRC) Ярека Стэнли, новая программа «предназначена для обеспечения надежной безопасности наших клиентов DevOps».
Вознаграждения варьируются от 500 до 20 000 долларов. Самые серьезные ошибки, приводящие к удаленному выполнению кода (RCE), имеют право на максимальное вознаграждение, но в зависимости от серьезности - ранжируются как «высокие», «средние» и «низкие» - выплаты оцениваются в 10 000, 15 000 или 20 000 долларов.
Помимо уязвимостей RCE, Microsoft также награждает пинтестеров за сообщения об ошибках, связанных с повышением привилегий, раскрытием информации, подделкой системы.
Недостатки межсайтового скриптинга (XSS), подделка межсайтовых запросов (CSRF), фальсификация и доступ к данным, небезопасные прямые ссылки на объекты, ошибки внедрения, выполнение кода на стороне сервера и любые «существенные» ошибки конфигурации найденные «охотниками за головами» ошибок все приемлемы согласно условиям программы,
Тем не менее, ошибки отказа в обслуживании были сочтены выходящими за рамки и не будут вознаграждены.
Исследователи должны предоставить документацию или видео материалы, отображающие их результаты, описание уязвимости и код проверки (PoC), который позволит инженерам воспроизвести ошибку и возможные атаки.
Microsoft - не единственный крупный поставщик технологий, решивший расширить свои программы по борьбе с ошибками. В феврале прошлого года Intel открыла свою программу для широкой публики и получила вознаграждение в размере до 250 000 $ за уязвимости высокой степени серьезности с уязвимостями побочных каналов, представляющими особый интерес.
Затем в августе Google решил расширить свою программу вознаграждения за ошибки, включив в нее методы и векторы внешних атак, которые субъекты угроз могут использовать для обхода систем защиты от злоупотреблений и мошенничества.
Facebook теперь присуждает до 40 000 $ за уязвимости при захвате аккаунта, а также награждает охотников за сообщения о проблемах с экспозицией токенов пользователей.
Европейский союз также в последнее время стал активно участвовать в награждении обнаружения ошибок, пообещав финансирование для проектов с открытым исходным кодом, включая KeePass, 7-Zip, VLC Media Player, Drupal, и FileZilla.
В четверг Microsoft сообщила, что схема вознаграждения за ошибки теперь открыта для исследователей, желающих помочь повысить безопасность Azure DevOps, облачной платформы, используемой для целей совместной разработки кода.
DevOps Azure используется разработчиками по всему миру для работы над проектами, связанными с кодом, и включает в себя тестовые конвейеры, доступ к Git-репо, создание пакетов и артефактов, а также инструменты тестирования.
По словам старшего руководителя программы Microsoft Security Response Center (MSRC) Ярека Стэнли, новая программа «предназначена для обеспечения надежной безопасности наших клиентов DevOps».
Вознаграждения варьируются от 500 до 20 000 долларов. Самые серьезные ошибки, приводящие к удаленному выполнению кода (RCE), имеют право на максимальное вознаграждение, но в зависимости от серьезности - ранжируются как «высокие», «средние» и «низкие» - выплаты оцениваются в 10 000, 15 000 или 20 000 долларов.
Помимо уязвимостей RCE, Microsoft также награждает пинтестеров за сообщения об ошибках, связанных с повышением привилегий, раскрытием информации, подделкой системы.
Недостатки межсайтового скриптинга (XSS), подделка межсайтовых запросов (CSRF), фальсификация и доступ к данным, небезопасные прямые ссылки на объекты, ошибки внедрения, выполнение кода на стороне сервера и любые «существенные» ошибки конфигурации найденные «охотниками за головами» ошибок все приемлемы согласно условиям программы,
Тем не менее, ошибки отказа в обслуживании были сочтены выходящими за рамки и не будут вознаграждены.
Исследователи должны предоставить документацию или видео материалы, отображающие их результаты, описание уязвимости и код проверки (PoC), который позволит инженерам воспроизвести ошибку и возможные атаки.
Microsoft - не единственный крупный поставщик технологий, решивший расширить свои программы по борьбе с ошибками. В феврале прошлого года Intel открыла свою программу для широкой публики и получила вознаграждение в размере до 250 000 $ за уязвимости высокой степени серьезности с уязвимостями побочных каналов, представляющими особый интерес.
Затем в августе Google решил расширить свою программу вознаграждения за ошибки, включив в нее методы и векторы внешних атак, которые субъекты угроз могут использовать для обхода систем защиты от злоупотреблений и мошенничества.
Facebook теперь присуждает до 40 000 $ за уязвимости при захвате аккаунта, а также награждает охотников за сообщения о проблемах с экспозицией токенов пользователей.
Европейский союз также в последнее время стал активно участвовать в награждении обнаружения ошибок, пообещав финансирование для проектов с открытым исходным кодом, включая KeePass, 7-Zip, VLC Media Player, Drupal, и FileZilla.
