Microsoft startet Bug-Bounty-Programm für .NET Core und ASP.NET

Nachdem Microsoft im November 2014 die Umwandlung des .NET-Frameworks in ein Open-Source-Projekt bekannt gab, macht sich das Unternehmen jetzt daran, die Community zur Hilfe bei dessen Absicherung zu motivieren. Sicherheitsforscher und Entwickler sind daher aufgerufen, dem Unternehmen bis Mitte Januar 2016 Schwachstellen in den Vorabversionen von .NET Core CLR und ASP.NET 5 zu melden. Im Gegenzug verspricht es Vergütungen, die je nach Gefährdungslevel und Komplexität des Beweises der Sicherheitslücke zwischen 500 und 15.000 US-Dollar liegen können, wobei es sich Microsoft offen hält, bei entsprechender Leistung mehr zu bezahlen.

Berücksichtigt werden alle Einreichungen, die eine bisher unbekannte Schwachstelle in den aktuellen Vorversionen (Beta oder Release Candidate) in CoreCLR, ASP.NET 5 oder den Standardtemplates der ASP.NET Web Tools Extension für Visual Studio 2015 und präzise Anweisungen zu ihrer Reproduktion enthalten. Die Schwachstelle ist darüber hinaus nur Microsoft offenzulegen und nicht anderweitig zu publizieren. Weitere Bedingungen lassen sich in den Konditionen des Bounty-Programms auf der Unternehmenswebsite nachlesen.

Bei ASP.NET handelt es sich um ein das .NET-Framework zugrunde legendes Verfahren zum Entwickeln dynamischer Webangebote. CoreCLR stellt eine Implementierung der Laufzeitumgebung des .NET-Kerns. Beide Projekte sind mittlerweile auf GitHub zu finden, wo Microsoft sie im Zuge seiner Open-Source-Offensive zur Verfügung gestellt hat. (jul)