Microsoft は、Microsoft のソフトウェア製品とサービスのセキュリティを真剣に受け止めています。これには、 Microsoft、 Azure、 DotNet、 AspNet、 Xamarin、GitHub 組織を含む、 GitHub 組織を通じて管理されるすべてのソース コード リポジトリが含まれます。
Microsoft のセキュリティ脆弱性の定義を満たす Microsoft 所有のリポジトリに セキュリティの脆弱性が見つかったと思われる場合は、以下の説明に従ってマイクロソフトに報告してください。
公開されている GitHub の問題を通じてセキュリティの脆弱性を報告しないでください。
代わりに、Microsoft Security Response Center (MSRC) https://msrc.microsoft.com/create-reportに報告してください。
ログインせずに送信する場合は、 に電子メールを送信します secure@microsoft.com。 可能であれば、PGP キーを使用してメッセージを暗号化します。 Microsoft Security Response Center PGP Key ページからダウンロードしてください。
24 時間以内に応答を受け取る必要があります。 何らかの理由でそうでない場合は、メールでフォローアップして、元のメッセージを確実に受信したことを確認してください。 その他の情報については、「 microsoft.com/msrc」を参照してください。
可能な問題の性質と範囲をより深く理解するために、以下に記載されている (提供できる限り) 要求された情報を含めてください。
- 問題の種類 (バッファー オーバーフロー、SQL インジェクション、クロスサイト スクリプトなど)
- 問題の発生に関連するソース ファイルの完全なパス
- 影響を受けるソース コードの場所 (タグ/ブランチ/コミットまたは直接 URL)
- 問題を再現するために必要な特別な構成
- 問題を再現するための詳細な手順
- 概念実証または悪用コード (可能な場合)
- 攻撃者がこの問題を悪用する方法など、問題の影響
この情報は、レポートをより迅速にトリアージするのに役立ちます。
バグの報奨金を報告する場合、より完全なレポートがより高い報奨金賞に貢献する可能性があります。 アクティブなプログラムの詳細については、 Microsoft バグ 報奨金プログラム のページを参照してください。
私たちはすべてのコミュニケーションを英語にする方が好きです。
Microsoft は、 協調脆弱性開示の原則に従います。