微軟上周四(9/1)宣布,將把甫於今年6月開源的.NET Core與ASP.NET Core納入抓漏獎勵計畫(Bug Bounty),漏洞懸賞獎金介於500至1.5萬美元之間。
ASP.NET Core為一可用來建立跨平台網頁應用程式的框架,而.NET Core則為一小型的最佳化運行環境,也是ASP.NET Core的基礎,皆可透過GitHub取得。
此一抓漏獎勵計畫著眼於Windows與Linux平台上的.NET Core與ASP.NET Core,也包括微軟最新的Kestrel網頁伺服器,抓漏範圍除了正式版之外,也涵蓋各種最新的測試版及RC版,已於9月1日正式展開。
其實微軟在去年10月便曾進行限期3個月的.NET Core與ASP.NET Core抓漏獎勵,但這一次則未設定期限。
根據應用程式安全業者Veracode的調查,在大型企業領域,.NET現為第二大受歡迎的程式語言,僅次於Java。
微軟表示,只要找到重要或重大漏洞的研究人員都可獲得獎金,漏洞報告的品質愈好,獎金便愈高。目前微軟仍在運作中的抓漏目標還包括Microsoft Edge、Office 365、Azure及Windows等。