Microsoft legt Bug-Bounty-Programm für .NET Core und ASP.NET Core neu auf

Microsoft hat das sogenannte Bug-Bounty-Programm wiederbelebt, durch das Fehler in seinen neuen quelloffenen Entwicklungsplattformen .NET Core und ASP.NET Core aufgefunden werden soll. Wie vor rund einem Jahr ist das Anzeigen von Schwachstellen und Sicherheitslücken dem Konzern zwischen 500 und 15.000 US-Dollar Wert.

Die Vergütung richtet sich nach dem Gefährdungslevel oder der Komplexität des Fehlerbeweises in den aktuellen RTM-Version (Release to Manufacturing) beziehungsweise den noch unterstützten Beta- oder Release-Candidate-Versionen. Das Programm läuft seit Anfang September und hat im Gegensatz zur früheren Auflage kein bestimmtes Ende. Seinerzeit erstreckte es sich über drei Monate.

Dies ist nicht Microsofts einzige Initiative in dieser Richtung. So gab es und gibt es weitere Bug-Bounty-Programme für Office 365, Azure und den Edge-Browser. Außerdem honoriert das Unternehmen Entwickler und Wissenschaftler, die neuartige Exploits finden, die den Schutz von Windows aushebeln könnten.

Gängige Praxis

Bug-Bounty-Programme sind für große IT-Unternehmen schon länger ein praktikables Verfahren, um Sicherheitslücken und Schwachstellen ausfindig zu machen. So zahlen neben Microsoft seit Jahren Google, Microsoft oder Facebook für Bugs und selbst Apple, das sich lange der Praktik verweigert hatte, ist seit kurzem auf den Zug aufgesprungen. Aber auch das Pentagon, Dienste wie Pornhub oder das Anonymisierungsprojekt Tor hatten in der Vergangenheit Bug-Bounty-Projekte aufgelegt.

Siehe dazu auf heise Developer:

• .NET Core: Microsofts plattformunabhängiges Entwicklungs-Framework erreicht Version 1.0
• Unreife Kernlösung: .NET Core 1.0 ist zwar erschienen, aber noch nicht fertig
  

(ane)