微軟新推出一項鎖定開放源碼.NET Core與ASP.NET的抓漏獎勵計畫,邀請研究人員尋找.NET Core及ASP.NET Beta 8的安全漏洞與臭蟲,但這是一個限期的抓漏獎勵計畫,只實施3個月,從今年的10月20日到明年的1月20日。
根據微軟說明,.NET與ASP.NET都是Visual Studio開發套件中的重要模組,.NET中的函式庫與功能讓開發人員能夠撰寫既安全又穩定的程式,且涉及愈來愈多的平台,此一抓漏獎勵計畫即延伸到所有可支援的平台,將支援Windows、Linux與OS X平台。
新的抓漏獎勵計畫適用於.NET Core與ASP.NET Beta 8,以及在這期間內所發表的ASP.NET測試版或RC版,找到合格漏洞的獎金則從500美元到1.5萬美元不等。
微軟偶爾會推出限期的抓漏獎勵計畫,例如Explorer 11與Microsoft Edge都曾有專屬的抓漏獎勵計畫,迄今有3項計畫未設期限而持續進行中,其中兩項是針對視窗作業系統,一是緩解繞道獎勵(Mitigation Bypass Bounty)計畫,邀請研究人員找出新鮮的破解技術。其次則是針對第一項抓漏計畫的防禦獎勵(Bounty for Defense),鼓勵研發人員打造防禦技術,這兩項抓漏計畫的最高獎金都有10萬美元。
另一個還在進行中的是線上服務臭蟲獎勵計畫(Online Services Bug Bounty ),鎖定的是Office 365與Azure中的臭蟲與漏洞,獎金亦是從500美元到1.5萬美元不等。(編譯/陳曉莉)