Auf Englisch lesen

Freigeben über


Sicherheit

Microsoft nimmt die Sicherheit unserer Softwareprodukte und Dienste ernst. Dazu gehören alle Quellcoderepositorys, die über unsere GitHub-Organisationen verwaltet werden, wie Microsoft, Azure, DotNet, AspNet, Xamarin und unsere GitHub-Organisationen.

Wenn Sie meinen, ein Sicherheitsrisiko in einem Microsoft-Repository gefunden zu haben, das der Microsoft-Definition eines Sicherheitsrisikos entspricht, melden Sie es uns wie unten beschrieben.

Melden von Sicherheitsproblemen

Melden Sie Sicherheitsrisiken nicht über öffentliche GitHub Issues.

Melden Sie sie stattdessen beim Microsoft Security Response Center (MSRC) unter https://msrc.microsoft.com/create-report.

Wenn Sie eine Übermittlung ohne Anmeldung bevorzugen, senden Sie eine E-Mail an secure@microsoft.com. Verschlüsseln Sie Ihre Nachricht nach Möglichkeit mit unserem PGP-Schlüssel. Laden Sie ihn bitte von der „PGP-Schlüssel“-Seite des Microsoft Security Response Center herunter.

Sie sollten innerhalb von 24 Stunden eine Antwort erhalten. Sollte dies aus irgendeinem Grund nicht der Fall sein, senden Sie uns eine weitere E-Mail, um sicherzustellen, dass wir Ihre ursprüngliche Nachricht erhalten haben. Weitere Informationen finden Sie unter microsoft.com/msrc.

Fügen Sie bitte die unten aufgeführten angeforderten Informationen bei (möglichst viele), damit wir die Art und den Umfang des möglichen Problems besser verstehen können:

  • Art des Problems (z. B. Pufferüberlauf, Einschleusung von SQL-Befehlen, Cross-Site-Scripting usw.)
  • Vollständige Pfade der Quelldateien im Zusammenhang mit der Manifestation des Problems
  • Der Speicherort des betroffenen Quellcodes (Tag/Verzweigung/Commit oder direkte URL)
  • Jegliche spezielle Konfiguration, die zum Reproduzieren des Problems erforderlich ist
  • Schritt-für-Schritt-Anweisungen zum Reproduzieren des Problems
  • Proof of Concept oder Exploit-Code
  • Auswirkungen des Problems, einschließlich einer Beschreibung, wie ein Angreifer möglicherweise das Sicherheitsrisiko ausnutzt

Anhand dieser Informationen können wir Ihre Meldung schneller einordnen.

Wenn Sie einen Fehler aufgrund einer Belohnung melden, können umfassendere Berichte zu einer höheren Belohnung beitragen. Ausführliche Informationen zu unseren aktiven Programmen finden Sie auf unserer Seite zum Microsoft Bug Bounty Program.

Bevorzugte Sprachen

Wir bevorzugen alle Mitteilungen auf Englisch.

Policy

Microsoft folgt dem Prinzip der Koordinierten Offenlegung von Sicherheitsrisiken.