Microsoft nimmt die Sicherheit unserer Softwareprodukte und -dienste ernst, einschließlich aller Quellcoderepositorys, die über unsere GitHub-Organisationen verwaltet werden, darunter Microsoft, Azure, DotNet, AspNet, Xamarin und unsere GitHub-Organisationen.
Wenn Sie glauben, dass Sie ein Sicherheitsrisiko in einem Repository im Besitz von Microsoft gefunden haben, das der Microsoft-Definition eines Sicherheitsrisikos entspricht, melden Sie uns dies bitte wie unten beschrieben.
Melden Sie keine Sicherheitsrisiken über öffentliche GitHub-Probleme.
Melden Sie sie stattdessen dem Microsoft Security Response Center (MSRC) unter https://msrc.microsoft.com/create-report.
Wenn Sie die Übermittlung ohne Anmeldung bevorzugen, senden Sie eine E-Mail an secure@microsoft.com. Verschlüsseln Sie Ihre Nachricht nach Möglichkeit mit unserem PGP-Schlüssel. Laden Sie es von der PGP-Schlüsselseite des Microsoft Security Response Center herunter.
Sie sollten innerhalb von 24 Stunden eine Antwort erhalten. Wenn Sie aus irgendeinem Grund dies nicht tun, folgen Sie bitte per E-Mail, um sicherzustellen, dass wir Ihre ursprüngliche Nachricht erhalten haben. Weitere Informationen finden Sie unter microsoft.com/msrc.
Bitte geben Sie die unten aufgeführten erforderlichen Informationen an (soweit Sie angeben können), um uns zu helfen, die Art und den Umfang des möglichen Problems besser zu verstehen:
- Art des Problems (z. B. Pufferüberlauf, SQL-Einschleusung, cross-site scripting usw.)
- Vollständige Pfade von Quelldateien im Zusammenhang mit der Manifestation des Problems
- Der Speicherort des betroffenen Quellcodes (Tag/Branch/Commit oder direkte URL)
- Alle speziellen Konfigurationen, die zum Reproduzieren des Problems erforderlich sind
- Schritt-für-Schritt-Anweisungen zum Reproduzieren des Problems
- Proof-of-Concept- oder Exploit-Code (wenn möglich)
- Auswirkungen des Problems, einschließlich der Art, wie ein Angreifer das Problem ausnutzen könnte
Diese Informationen helfen uns, Ihren Bericht schneller zu selektieren.
Wenn Sie eine Bug-Bounty melden, können umfassendere Berichte zu einem höheren Bounty-Preis beitragen. Weitere Informationen zu unseren aktiven Programmen finden Sie auf unserer Microsoft Bug Bounty-Programmseite .
Wir ziehen es vor, dass alle Kommunikationen auf Englisch sind.
Microsoft folgt dem Prinzip der koordinierten Offenlegung von Sicherheitsrisiken.