Microsoft 非常重视软件产品和服务的安全性,其中包括通过 GitHub 组织(包括 Microsoft、 Azure、 DotNet、 AspNet、 Xamarin 和 GitHub 组织)管理的所有源代码存储库。
如果你认为自己在任何 Microsoft 拥有的存储库中发现了符合 Microsoft 安全漏洞定义的安全漏洞,请向我们报告,如下所述。
请不要通过公共 GitHub 问题报告安全漏洞。
请改为将其报告给 Microsoft 安全响应中心, (MSRC) https://msrc.microsoft.com/create-report。
如果想要在不登录的情况下提交,请发送电子邮件至 secure@microsoft.com。 如果可能,请使用 PGP 密钥加密消息;请从 Microsoft 安全响应中心 PGP 密钥页下载它。
应在 24 小时内收到响应。 如果出于某种原因,你没有这样做,请通过电子邮件跟进,以确保我们收到了你的原始邮件。 可以在 microsoft.com/msrc 中找到其他信息。
请尽可能多地提供 (下面列出的请求信息) ,以帮助我们更好地了解可能问题的性质和范围:
- 问题类型 (例如缓冲区溢出、SQL 注入、跨站点脚本等)
- 与问题表现相关的源文件 () 的完整路径
- 受影响的源代码的位置 (标记/分支/提交或直接 URL)
- 重现问题所需的任何特殊配置
- 重现问题的分步说明
- 如果可能,概念证明或利用代码 ()
- 问题的影响,包括攻击者如何利用此问题
此信息将帮助我们更快地对报表进行会审。
如果报告 bug 赏金,则更完整的报告有助于获得更高的赏金奖励。 请访问 我们的 Microsoft Bug 赏金计划 页面,了解有关当前计划的更多详细信息。
我们更希望所有通信都使用英语。
Microsoft 遵循 协调漏洞披露原则。