Microsoft запустила трёхмесячную программу по поиску уязвимостей в Visual Studio 2015. Принять участие в этой программе и претендовать на денежное вознаграждение может любой желающий.
Программа распространяется на бета-версии Core CLR (движок .NET Core) и ASP.NET (фреймворк для создания сайтов от Microsoft). «Чем безопаснее наши фреймворки, тем безопаснее будет наше ПО», — заявил Барри Доранс (Barry Dorrans), руководитель отдела безопасности ASP.NET.
Вознаграждение будет вручаться за обнаружение уязвимостей во всех платформах, которые работают с NET Core и ASP.NET. Исключение составляет только beta 8 в которой ко вниманию не будет браться сетевой узел для Linux и OS X.
«В более поздних версиях beta и RC, после того как наш межплатформенный сетевой узел станет таким же стабильным и безопасным, как в Windows, мы включим в программу и его», — написал Доранс.
Размер вознаграждения колеблется в пределах от $500 до $15 000, и зависит от «качества и сложности» уязвимости.
Чтобы претендовать на наиболее высокую награду исследователь должен будет обнаружить уязвимость, которая позволяет выполнить произвольный код на целевой системе. Помимо этого, необходимо предоставить детальную документацию и рабочий эксплоит. Для получения $500 будет достаточно описать бреши типа XSS или CSRF.
Программа официально стартовала 20 октября и будет продолжаться до 20 января 2016 года.
