عنوان:

‫به‌روزرسانی برنامه جایزه‌بگیری .NET: جوایز تا ۴۰,۰۰۰ دلار افزایش یافت


نویسنده: وحید نصیری
تاریخ: ۱۴۰۴/۰۵/۱۴ ۰۹:۳۸
آدرس: www.dntips.ir
برنامه جایزه‌بگیری (Bounty Program) مایکروسافت .NET با یک به‌روزرسانی مهم از سوی مایکروسافت .NET و مرکز واکنش به تهدیدات امنیتی مایکروسافت (MSRC) همراه شده است. این تغییرات، دامنه برنامه را گسترش داده، ساختار اعطای جایزه را ساده‌سازی کرده و مشوق‌های چشمگیری برای پژوهشگران امنیتی (Security Researchers) در نظر گرفته است. در حال حاضر، برنامه جایزه‌بگیری .NET برای آسیب‌پذیری‌های (Vulnerabilities) کشف‌شده در .NET و ASP.NET Core، از جمله Blazor و Aspire، جوایزی تا سقف ۴۰,۰۰۰ دلار آمریکا ارائه می‌دهد. شرایط کامل برنامه در اسناد مربوط به آن در MSRC موجود است.

گسترش دامنه برنامه

دامنه برنامه جایزه‌بگیری .NET اکنون به شکلی وسیع‌تر، فناوری‌های مختلفی را در اکوسیستم .NET پوشش می‌دهد. این پوشش شامل تمامی نسخه‌های پشتیبانی‌شده از .NET و ASP.NET، فناوری‌های وابسته همچون Aspire و F#، و همچنین نسخه‌های پشتیبانی‌شده ASP.NET Core برای .NET Framework می‌شود. علاوه بر این، قالب‌های (Templates) ارائه شده با نسخه‌های پشتیبانی‌شده از .NET و ASP.NET Core و نیز اقدامات گیت‌هاب (GitHub Actions) در مخازن (Repositories) .NET و ASP.NET Core نیز تحت پوشش این برنامه قرار گرفته‌اند. این گسترش دامنه، اطمینان از بررسی امنیتی مستمر و محافظت از مشتریان مایکروسافت در برابر طیف گسترده‌تری از فناوری‌ها را تضمین می‌کند.

نحوه گزارش آسیب‌پذیری‌ها

برای اینکه یک مسئله یا باگ امنیتی در شرایط دریافت جایزه قرار گیرد، باید به صورت خصوصی و مستقیم به مرکز واکنش به تهدیدات امنیتی مایکروسافت (MSRC) گزارش شود. پژوهشگران می‌توانند با ارسال ایمیل به secure@microsoft.com یا از طریق پورتال رسمی MSRC به آدرس https://msrc.microsoft.com/ اقدام به گزارش کنند. پس از ارسال، انتظار می‌رود که در مدت ۲۴ ساعت پاسخی دریافت شود. لازم به تأکید است که باگ‌ها و مسائل امنیتی که از طریق بخش Issues در GitHub گزارش می‌شوند، شرایط لازم برای شرکت در برنامه جایزه‌بگیری را نخواهند داشت.

به‌روزرسانی ساختار جوایز

در ساختار جدید برنامه جایزه‌بگیری .NET، ارزیابی و پاداش‌دهی به گزارش‌ها بهبود یافته است. جداول جوایز جدید به وضوح سطوح شدت (Severity Levels)، انواع مختلف تأثیر امنیتی (Security Impact) و معیارهای بازنگری شده برای کیفیت گزارش (Report Quality) را مشخص می‌کنند. این رویکرد جدید، جوایز را بر اساس تأثیر بالقوه آسیب‌پذیری تعیین می‌کند تا مسائل با تأثیر بالاتر، جوایز بیشتری دریافت کنند. انواع تأثیر امنیتی اکنون با سایر برنامه‌های جایزه‌بگیری مایکروسافت همسو شده‌اند تا پژوهشگران درک بهتری از نحوه ارزیابی گزارش‌هایشان داشته باشند.
کیفیت گزارش‌ها نیز به دو دسته «کامل» (Complete) و «غیرکامل» (Not Complete) طبقه‌بندی می‌شود. تنها گزارش‌هایی که شامل بهره‌برداری‌های (Exploits) کاملاً عملیاتی هستند، به عنوان گزارش «کامل» شناخته می‌شوند. سناریوهای تئوریکال نیز همچنان در نظر گرفته می‌شوند، اما جوایز کمتری بر اساس تأثیر عملی آن‌ها دریافت خواهند کرد. این به‌روزرسانی‌ها، شفافیت را افزایش داده و پژوهشگران را به ارائه گزارش‌های دقیق و کاربردی تشویق می‌کند.

افزایش مبالغ جوایز

مبالغ جوایز افزایش یافته تا پیچیدگی کشف و بهره‌برداری از آسیب‌پذیری‌ها در .NET را بهتر منعکس کند. برای یک آسیب‌پذیری با تأثیر امنیتی «اجرای کد از راه دور» (Remote Code Execution) در سطح شدت «بحرانی» (Critical)، در صورتی که گزارش «کامل» باشد، مبلغ جایزه به ۴۰,۰۰۰ دلار می‌رسد. در شرایطی که گزارش «غیرکامل» باشد، این مبلغ ۲۰,۰۰۰ دلار خواهد بود.
در مورد آسیب‌پذیری با تأثیر «ارتقاء سطح دسترسی» (Elevation of Privilege) در سطح شدت «بحرانی»، یک گزارش «کامل» ۴۰,۰۰۰ دلار و یک گزارش «غیرکامل» ۲۰,۰۰۰ دلار پاداش دریافت می‌کند. برای تأثیر «دور زدن قابلیت‌های امنیتی» (Security Feature Bypass) در سطح «بحرانی»، جایزه یک گزارش «کامل» ۳۰,۰۰۰ دلار و برای گزارش «غیرکامل» ۲۰,۰۰۰ دلار تعیین شده است.
در سطح شدت «مهم» (Important)، جایزه‌ها متفاوت است. به عنوان مثال، برای اجرای کد از راه دور، یک گزارش «کامل» ۳۰,۰۰۰ دلار و «غیرکامل» ۲۰,۰۰۰ دلار دریافت می‌کند. برای «ارتقاء سطح دسترسی»، جایزه یک گزارش «کامل» ۱۰,۰۰۰ دلار و «غیرکامل» ۴,۰۰۰ دلار است. این ساختار جدید، به پژوهشگران برای همکاری‌های مستمرشان که برای تقویت امنیت .NET ضروری است، ارزش و انگیزه بیشتری می‌بخشد.



مشاهده مطلب اصلی