Condividi tramite

Sicurezza

  • Articolo

Microsoft prende seriamente in considerazione la sicurezza dei prodotti e dei servizi software, che include tutti i repository di codice sorgente gestiti tramite le organizzazioni GitHub, tra cui Microsoft, Azure, DotNet, AspNet, Xamarin e le organizzazioni GitHub.

Se si ritiene di aver rilevato una vulnerabilità di protezione in qualsiasi repository di proprietà di Microsoft che soddisfi la definizione di una vulnerabilità di protezione di Microsoft, segnalarla a Microsoft come descritto di seguito.

Segnalazione dei problemi di sicurezza

Non segnalare le vulnerabilità di protezione nel problemi pubblici di GitHub.

In alternativa, segnalarle a Microsoft Security Response Center (MSRC) all'indirizzo https://msrc.microsoft.com/create-report.

Se si preferisce inviarle senza eseguire l'accesso, inviare un’e-mail a secure@microsoft.com. Se possibile, crittografare il messaggio con la chiave PGP; scaricarlo dalla pagina Chiave PGP di Microsoft Security Response Center.

La risposta viene inviata in genere entro 24 ore. Se per qualche motivo non si riceve la risposta, inviare un messaggio di posta elettronica per verificare che abbiamo ricevuto il messaggio originale. Ulteriori informazioni sono disponibili in microsoft.com/msrc.

Includere le informazioni richieste elencate di seguito (per quanto possibile) per aiutarci a comprendere meglio la natura e l'ambito del problema:

  • Tipo di problema (ad esempio, sovraccarico del buffer, inserimento SQL, scripting intersito e così via)
  • Percorsi completi dei file di origine correlati alla manifestazione del problema
  • La posizione del codice sorgente interessato (tag/ramo/commit o URL diretto)
  • Qualsiasi configurazione speciale necessaria per riprodurre il problema
  • Istruzioni dettagliate per riprodurre il problema
  • Modello di verifica o codice exploit (se possibile)
  • Impatto del problema, incluso il modo in cui un utente malintenzionato potrebbe sfruttarlo

Queste informazioni ci aiuteranno a valutare più rapidamente il report.

Se si sta effettuando la segnalazione per un bug bounty, report più completi possono contribuire a ricompense più elevate. Visitare la pagina del programma Microsoft Bug Bounty per ulteriori dettagli sui programmi attivi.

Lingue preferite

Preferiamo che le comunicazione avvengano esclusivamente in lingua inglese.

Criteri

Microsoft segue il principio della divulgazione coordinata di vulnerabilità.