Microsoftは米国時間6月7日、同社のバグ発見報奨金プログラムに、近々リリース予定の新たなサービスビルドを追加すると発表した。
同社によると、この新たなプログラムは「.NET Core」および、5月に発表したウェブアプリ向けの新規フレームワーク「ASP.NET Core RC2」のベータ版に焦点を合わせたものだという。
MicrosoftのセキュリティレスポンスセンターのシニアディレクターJason Shirk氏によると、この報奨金プログラムは2016年6月7日~9月7日にかけて実施され、報奨金は脆弱性の程度に応じて500~1万5000ドルになるという。
報奨金を得るには、有効かつ未報告のバグを提示する必要がある。受け付けられる内容には、リモートから任意のコードを実行可能にする脆弱性(RCE)や、セキュリティを脅かす設計上の欠陥、特権昇格につながるバグ、リモートからのDoS攻撃に対する脆弱性、情報漏えい、クロスサイトスクリプティング(XSS)関連の脆弱性が含まれる。
報奨金の上限は1万5000ドルに設定されているが、同社が認めた特殊なケースではより高額の報奨金が支払われる可能性もある。
対象となるプラットフォームは「Microsoft Windows」とAppleの「OS X」、Linuxとなっている。
この新プログラムは、現在実施されている「Nano Server」ベータ版や「Online Services」「Mitigation Bypass and Bounty for Defense」などの報奨金プログラムに加わる。
Shirk氏によると「報奨金プログラムは、Security Development Lifecycle(SDL)やOperational Security Assurance(OSA)フレームワーク、Microsoftの製品やサービスに対する定期的なペネトレーションテスト、サードパーティの監査によるセキュリティとコンプライアンス認証を補完するものになる」という。
提供:NopSec
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。
