安全

Microsoft 很重视软件产品和服务的安全性，其中包括通过 GitHub 组织托管的所有源代码存储库：Microsoft、Azure、DotNet、AspNet、Xamarin 以及我们的 GitHub 组织。

如果你认为自己在任何 Microsoft 拥有的存储库中发现了安全漏洞，并且该漏洞符合 Microsoft 的安全漏洞定义，请报告给我们，如下所述。

报告安全问题

请勿以公共 GitHub 问题的形式报告安全漏洞，

而应通过 https://msrc.microsoft.com/create-report 将其报告给 Microsoft 安全响应中心 (MSRC)。

如果你首选在不登录的情况下提交报告，请发送电子邮件至 secure@microsoft.com。 可能情况下，请使用我们的 PGP 密钥将消息加密；请从 Microsoft 安全响应中心的“PGP 密钥”页下载该密钥。

你应该会在 24 小时内收到答复。 如果因为某种原因，你未收到答复，请通过电子邮件跟进以确保我们收到原始邮件。 如需更多信息，可访问 microsoft.com/msrc。

请提供下列请求信息（尽可能提供），以便我们更好地了解可能存在的问题的性质和范围：

• 问题类型（例如，缓冲区溢出、SQL 注入、跨站点脚本等）
• 与问题表现形式相关的源文件的完整路径
• 受影响源代码的位置（tag/branch/commit 或直接 URL）
• 重现问题所需的任何特殊配置
• 介绍如何重现问题的分步说明
• 概念证明或攻击代码（如果可能）
• 问题的影响，包括攻击者可能会如何利用此问题。

该信息有助于我们更快地会审你的报告。

如果你是为了 Bug 奖励而报告，则提供更完整的报告可以获得更高的奖励。 请访问我们的 Microsoft Bug 奖励计划页，更详细地了解我们正在进行的计划。

首选语言

所有通信的首选语言都是英语。

策略

Microsoft 遵循漏洞协同披露原则。