برنامه جایزهبگیری (Bounty Program) مایکروسافت .NET با یک بهروزرسانی مهم از سوی مایکروسافت .NET و مرکز واکنش به تهدیدات امنیتی مایکروسافت (MSRC) همراه شده است. این تغییرات، دامنه برنامه را گسترش داده، ساختار اعطای جایزه را سادهسازی کرده و مشوقهای چشمگیری برای پژوهشگران امنیتی (Security Researchers) در نظر گرفته است. در حال حاضر، برنامه جایزهبگیری .NET برای آسیبپذیریهای (Vulnerabilities) کشفشده در .NET و ASP.NET Core، از جمله Blazor و Aspire، جوایزی تا سقف ۴۰,۰۰۰ دلار آمریکا ارائه میدهد. شرایط کامل برنامه در اسناد مربوط به آن در MSRC موجود است.
گسترش دامنه برنامه
دامنه برنامه جایزهبگیری .NET اکنون به شکلی وسیعتر، فناوریهای مختلفی را در اکوسیستم .NET پوشش میدهد. این پوشش شامل تمامی نسخههای پشتیبانیشده از .NET و ASP.NET، فناوریهای وابسته همچون Aspire و F#، و همچنین نسخههای پشتیبانیشده ASP.NET Core برای .NET Framework میشود. علاوه بر این، قالبهای (Templates) ارائه شده با نسخههای پشتیبانیشده از .NET و ASP.NET Core و نیز اقدامات گیتهاب (GitHub Actions) در مخازن (Repositories) .NET و ASP.NET Core نیز تحت پوشش این برنامه قرار گرفتهاند. این گسترش دامنه، اطمینان از بررسی امنیتی مستمر و محافظت از مشتریان مایکروسافت در برابر طیف گستردهتری از فناوریها را تضمین میکند.
نحوه گزارش آسیبپذیریها
برای اینکه یک مسئله یا باگ امنیتی در شرایط دریافت جایزه قرار گیرد، باید به صورت خصوصی و مستقیم به مرکز واکنش به تهدیدات امنیتی مایکروسافت (MSRC) گزارش شود. پژوهشگران میتوانند با ارسال ایمیل به secure@microsoft.com یا از طریق پورتال رسمی MSRC به آدرس https://msrc.microsoft.com/ اقدام به گزارش کنند. پس از ارسال، انتظار میرود که در مدت ۲۴ ساعت پاسخی دریافت شود. لازم به تأکید است که باگها و مسائل امنیتی که از طریق بخش Issues در GitHub گزارش میشوند، شرایط لازم برای شرکت در برنامه جایزهبگیری را نخواهند داشت.
بهروزرسانی ساختار جوایز
در ساختار جدید برنامه جایزهبگیری .NET، ارزیابی و پاداشدهی به گزارشها بهبود یافته است. جداول جوایز جدید به وضوح سطوح شدت (Severity Levels)، انواع مختلف تأثیر امنیتی (Security Impact) و معیارهای بازنگری شده برای کیفیت گزارش (Report Quality) را مشخص میکنند. این رویکرد جدید، جوایز را بر اساس تأثیر بالقوه آسیبپذیری تعیین میکند تا مسائل با تأثیر بالاتر، جوایز بیشتری دریافت کنند. انواع تأثیر امنیتی اکنون با سایر برنامههای جایزهبگیری مایکروسافت همسو شدهاند تا پژوهشگران درک بهتری از نحوه ارزیابی گزارشهایشان داشته باشند.
کیفیت گزارشها نیز به دو دسته «کامل» (Complete) و «غیرکامل» (Not Complete) طبقهبندی میشود. تنها گزارشهایی که شامل بهرهبرداریهای (Exploits) کاملاً عملیاتی هستند، به عنوان گزارش «کامل» شناخته میشوند. سناریوهای تئوریکال نیز همچنان در نظر گرفته میشوند، اما جوایز کمتری بر اساس تأثیر عملی آنها دریافت خواهند کرد. این بهروزرسانیها، شفافیت را افزایش داده و پژوهشگران را به ارائه گزارشهای دقیق و کاربردی تشویق میکند.
افزایش مبالغ جوایز
مبالغ جوایز افزایش یافته تا پیچیدگی کشف و بهرهبرداری از آسیبپذیریها در .NET را بهتر منعکس کند. برای یک آسیبپذیری با تأثیر امنیتی «اجرای کد از راه دور» (Remote Code Execution) در سطح شدت «بحرانی» (Critical)، در صورتی که گزارش «کامل» باشد، مبلغ جایزه به ۴۰,۰۰۰ دلار میرسد. در شرایطی که گزارش «غیرکامل» باشد، این مبلغ ۲۰,۰۰۰ دلار خواهد بود.
در مورد آسیبپذیری با تأثیر «ارتقاء سطح دسترسی» (Elevation of Privilege) در سطح شدت «بحرانی»، یک گزارش «کامل» ۴۰,۰۰۰ دلار و یک گزارش «غیرکامل» ۲۰,۰۰۰ دلار پاداش دریافت میکند. برای تأثیر «دور زدن قابلیتهای امنیتی» (Security Feature Bypass) در سطح «بحرانی»، جایزه یک گزارش «کامل» ۳۰,۰۰۰ دلار و برای گزارش «غیرکامل» ۲۰,۰۰۰ دلار تعیین شده است.
در سطح شدت «مهم» (Important)، جایزهها متفاوت است. به عنوان مثال، برای اجرای کد از راه دور، یک گزارش «کامل» ۳۰,۰۰۰ دلار و «غیرکامل» ۲۰,۰۰۰ دلار دریافت میکند. برای «ارتقاء سطح دسترسی»، جایزه یک گزارش «کامل» ۱۰,۰۰۰ دلار و «غیرکامل» ۴,۰۰۰ دلار است. این ساختار جدید، به پژوهشگران برای همکاریهای مستمرشان که برای تقویت امنیت .NET ضروری است، ارزش و انگیزه بیشتری میبخشد.