Microsoft は、当社のソフトウェア製品とサービスのセキュリティを真剣に受け止めています。これには、Microsoft、Azure、DotNet、AspNet、Xamarin、および Microsoft の GitHub 組織など、GitHub 組織によって管理されるすべてのソース コード リポジトリが含まれます。
Microsoft が所有するリポジトリで、Microsoft によるセキュリティ脆弱性の定義に該当するセキュリティ脆弱性を発見したと思われる場合は、以下の説明に従って Microsoft までご報告ください。
セキュリティの問題の報告
パブリックの GitHub イシューを通して、セキュリティの脆弱性を報告しないでください。
代わりに、Microsoft Security Response Center (MSRC) (https://msrc.microsoft.com/create-report) に報告してください。
ログインせずに送信する場合は、secure@microsoft.com に電子メールをお送りください。 可能であれば、PGP キーを使用してメッセージを暗号化します。これは、Microsoft Security Response Center の PGP キーのページからダウンロードしてください。
24 時間以内に応答が返されます。 何らかの理由で応答がなかった場合、メールでフォローアップして、元のメッセージを私たちが受信したことを確認してください。 詳細については、microsoft.com/msrc をご覧ください。
考えられるイシューの性質と範囲をより正確に理解するのに役立つよう、以下に記載されている要求された情報を (提供できる限り) 含めてください。
- イシューの種類 (バッファー オーバーフロー、SQL インジェクション、クロスサイト スクリプティングなど)
- イシューの兆候に関連するソース ファイルの完全パス
- 影響を受けたソース コードの場所 (タグ/ブランチ/コミットまたは直接 URL)
- イシューの再現に必要な特別な構成
- イシューを再現するための詳細な手順
- 概念実証または悪用コード (可能な場合)
- イシューの影響 (攻撃者がイシューを悪用する方法など)
この情報は、報告をより迅速にトリアージするのに役立ちます。
バグ バウンティの報告を行っていただける場合は、報告を詳細にするほど、バウンティの賞金が高くなる可能性があります。 アクティブなプログラムの詳細については、Microsoft バグ バウンティ プログラムのページを参照してください。
優先言語
すべての通信を英語で行うことをお勧めします。
ポリシー
Microsoft は、組織的な脆弱性の公開の原則に従っています。