マイクロソフトは7月31日、Microsoft .NET に関連した報奨金プログラムの大幅な変更についてブログで発表した。
.NET の報奨金プログラムは、.NET Framework 全体で下記を含むより広い範囲が対象となる。
サポートしているすべてのバージョンの .NET および ASP.NET
F# などの周辺技術
サポートしているバージョンの ASP.NET Core for .NET Framework
サポートしているバージョンの .NET と ASP.NET Core で提供されるテンプレート
.NET と ASP.NET Core リポジトリの GitHub Actions
また、再構築した .NET の報奨金プログラムでは、報告の評価と報酬の方法を改善しており、新しいアワード表では重大度レベルを明確に定義し、さまざまな種類のセキュリティへの影響を明記、報告の品質について改訂した基準の概要を記載している。
・明確な重大度レベル:報奨は脆弱性の潜在的な影響に基づいており、影響の大きい問題はより多くの報酬を受け取ることができる。
・影響カテゴリの調整:セキュリティ影響の種類を他のマイクロソフト報奨金プログラムと同一にし、研究者の報告をどのように評価しているかを明確化。
・報告の品質を定義:報告は 「complete」 または 「not complete」 のいずれかで評価。実際に動作するエクスプロイトを含むレポートのみを「complete」 と認定。
さらにマイクロソフトでは、.NET の脆弱性の発見と悪用の複雑さをより反映するために報奨金を増額しており、 .NET と ASP.NET Core(Blazor と Aspire を含む)に影響を与える脆弱性に対し、最大40,000米ドル(約 590 万円)の報奨金を提供する。
