安全性

Microsoft 很嚴肅地看待軟體產品和服務的安全性，這包括透過我們 GitHub 組織管理的所有原始程式碼存放庫，包括 Microsoft、Azure、DotNet、AspNet、Xamarin，以及 GitHub 組織。

如果您確認已在任何 Microsoft 擁有的存放庫中找到符合 Microsoft 安全性弱點定義的安全性弱點，請如下所述回報給我們。

報告安全性問題

請不要透過公用 GitHub 問題報告安全性弱點。

請改為在 https://msrc.microsoft.com/create-report 向 Microsoft 安全性回應中心 (MSRC) 回報。

如果您想要在不登入的情況下提交，請將電子郵件傳送至 secure@microsoft.com。 可能的話，請使用我們的 PGP 金鑰來加密訊息；請從 Microsoft 安全性回應中心 PGP 金鑰頁面下載。

您應該會在 24 小時內收到回應。 如果因為某些原因而未收到，請透過電子郵件追蹤，以確保我們收到您的原始訊息。 如需其他資訊，請參閱 microsoft.com/msrc。

請包含下列所要求的資訊 (請盡量提供)，以協助我們進一步了解可能問題的本質和範圍：

• 問題的類型 (例如緩衝區溢位、SQL 插入、跨網站指令碼攻擊等)
• 與問題表現相關的原始程式檔完整路徑
• 受影響的原始程式碼位置 (標記/分支/認可或直接 URL)
• 重現問題所需的任何特殊設定
• 重現問題的逐步指示
• 概念證明或惡意探索程式碼 (如果可能)
• 問題的影響，包括攻擊者可能如何惡意探索問題

此資訊可協助我們更快將您的回報分級。

如果您要獲得錯誤回報獎勵，則回報越完整，獎勵便可能越高。 如需使用中計劃的詳細資料，請前往我們的 Microsoft Bug Bounty Program (Microsoft 錯誤回報計劃) 頁面。

慣用語言

我們偏好以英文進行所有通訊。

原則

Microsoft 遵循協調的弱點揭露原則。