Le nouveau programme Bug Bounty de Microsoft

Microsoft vient de lancer le 20 octobre un nouveau programme de récompense pour la découverte de vulnérabilités affectant .Net Core CLR et les versions bêtas d’ASP.NET 5 sorties avec Visual Studio 2015 et tournant sur Windows, Linux et Mac OS. Le programme prendra fin le 20 janvier 2016.

Les participants peuvent soumettre les vulnérabilités découvertes et non encore rapportées sur la toute dernière version bêta ou RC de Microsoft CoreCLR, ASP.NET et les templates ASP.NET 5 par défaut fourni avec ASP.NET Web Tools extension pour Visual Studio 2015.

La liste des vulnérabilités éligibles est la suivante :

Pour être éligible à la récompense, le requérant doit produire une preuve de concept pour chaque vulnérabilité signalée. En retour, Microsoft s’engage à payer un montant entre 500 et 15 000 dollars selon la complexité de la faille rapportée. Microsoft souligne qu’il n’y a pas de restrictions sur le nombre de candidatures qualifiées qu’un émetteur individuel peut fournir et être payé en retour. En outre, toutes les personnes qui remporteront des récompenses dans ce programme Bug Bonty verront leurs noms être affichés sur la page de Microsoft Bounty Honor Roll en guise de reconnaissance.