Корпорация Майкрософт серьезно относится к безопасности наших программных продуктов и служб, включая все репозитории исходного кода, управляемые через наши организации GitHub, включая Microsoft, Azure, DotNet, AspNet, Xamarin и наши организации GitHub.
Если вы считаете, что обнаружили уязвимость системы безопасности в любом репозитории, принадлежавом корпорации Майкрософт, который соответствует определению майкрософт уязвимости безопасности, сообщите нам об этом, как описано ниже.
Не сообщайте об уязвимостях системы безопасности через общедоступные проблемы GitHub.
Вместо этого сообщите о них в Центр реагирования на безопасность Майкрософт (MSRC) по адресу https://msrc.microsoft.com/create-report.
Если вы предпочитаете отправлять сообщения без входа в систему, отправьте сообщение электронной почты по адресу secure@microsoft.com. По возможности зашифруйте сообщение с помощью ключа PGP; Скачайте его со страницы ключа PGP Центра безопасности Майкрософт.
Вы должны получить ответ в течение 24 часов. Если по какой-либо причине вы этого не сделали, пожалуйста, по электронной почте, чтобы убедиться, что мы получили ваше исходное сообщение. Дополнительные сведения см. на странице microsoft.com/msrc.
Укажите указанную ниже информацию (столько, сколько вы можете предоставить), чтобы лучше понять характер и масштаб возможной проблемы:
- Тип проблемы (например, переполнение буфера, внедрение КОДА SQL, междомовые скрипты и т. д.)
- Полные пути к исходным файлам, связанным с проявлением проблемы
- Расположение затронутого исходного кода (тег,ветвь/фиксация или прямой URL-адрес)
- Любая специальная конфигурация, необходимая для воспроизведения проблемы
- Пошаговые инструкции по воспроизведению проблемы
- Подтверждение концепции или код эксплойтов (если это возможно)
- Влияние проблемы, включая то, как злоумышленник может воспользоваться этой проблемой
Эта информация поможет нам быстрее рассмотреть ваш отчет.
Если вы сообщаете о баунти ошибок, более полные отчеты могут способствовать более высокой награде. Дополнительные сведения о наших активных программах см. на странице Microsoft Bug Bounty Program .
Мы предпочитаем, чтобы все сообщения были на английском языке.
Корпорация Майкрософт следует принципу скоординированного раскрытия уязвимостей.