Прочитать на английском

Поделиться через


Безопасность

Корпорация Майкрософт серьезно относится к безопасности наших программных продуктов и служб, включая все репозитории исходного кода, управляемые через наши организации GitHub, включая Microsoft, Azure, DotNet, AspNet, Xamarin и наши организации GitHub.

Если вы считаете, что обнаружили уязвимость системы безопасности в любом репозитории, принадлежавом корпорации Майкрософт, который соответствует определению майкрософт уязвимости безопасности, сообщите нам об этом, как описано ниже.

Отчеты о проблемах безопасности

Не сообщайте об уязвимостях системы безопасности через общедоступные проблемы GitHub.

Вместо этого сообщите о них в Центр реагирования на безопасность Майкрософт (MSRC) по адресу https://msrc.microsoft.com/create-report.

Если вы предпочитаете отправлять сообщения без входа в систему, отправьте сообщение электронной почты по адресу secure@microsoft.com. По возможности зашифруйте сообщение с помощью ключа PGP; Скачайте его со страницы ключа PGP Центра безопасности Майкрософт.

Вы должны получить ответ в течение 24 часов. Если по какой-либо причине вы этого не сделали, пожалуйста, по электронной почте, чтобы убедиться, что мы получили ваше исходное сообщение. Дополнительные сведения см. на странице microsoft.com/msrc.

Укажите указанную ниже информацию (столько, сколько вы можете предоставить), чтобы лучше понять характер и масштаб возможной проблемы:

  • Тип проблемы (например, переполнение буфера, внедрение КОДА SQL, междомовые скрипты и т. д.)
  • Полные пути к исходным файлам, связанным с проявлением проблемы
  • Расположение затронутого исходного кода (тег,ветвь/фиксация или прямой URL-адрес)
  • Любая специальная конфигурация, необходимая для воспроизведения проблемы
  • Пошаговые инструкции по воспроизведению проблемы
  • Подтверждение концепции или код эксплойтов (если это возможно)
  • Влияние проблемы, включая то, как злоумышленник может воспользоваться этой проблемой

Эта информация поможет нам быстрее рассмотреть ваш отчет.

Если вы сообщаете о баунти ошибок, более полные отчеты могут способствовать более высокой награде. Дополнительные сведения о наших активных программах см. на странице Microsoft Bug Bounty Program .

Предпочитаемые языки

Мы предпочитаем, чтобы все сообщения были на английском языке.

Политика

Корпорация Майкрософт следует принципу скоординированного раскрытия уязвимостей.