ماکروسافت به شدت معتقد است همکاری نزدیک با محققان باعث ایجاد امنیت بیشتر برای مشتریان میشود، از اینرو این شرکت با برگزاری یک برنامه به نام Microsoft Bug Bounty برای سرویس Azure DevOps cloud از علاقمندان دعوت کرد تا با کشف bug های این سرویس ابری جایزه 20 هزار دلاری دریافت کنند.
سرویس Azure DevOps توسط برنامه نویسان سراسر دنیا به منظور کار بر روی پروژههای مبتنی بر کد استفاده میشود و شامل test pipeline، دسترسی خصوصی به Git repo، و دیگر قابلیتها و همچنین ابزارهای تست میباشد.
بر طبق گفتههای Jarek Stanley این برنامه جدید به طور اختصاصی برای فراهم کردن امنیت rock-solid برای کاربران DevOps میباشد.
جایزه Microsoft Bug Bounty بین 500 تا 20،000 دلار است. خطرناکترین باگها در اجرای کدهای از راه دور یا remote code execution (RCE) که واجد شرایط دریافت بیشترین جایزه هستند اما بسته به شدت خطر به عنوان high، medium، و low رتبهبندی میشوند و پرداختها در محدوده 10،000 ، 15،000 و 20،000 دلار است.
به علاوه برای آسیبپذیریهای RCE و گزارش باگ مربوط به privilege escalation ، information disclosure، spoofing و system tempering مایکروسافت جوایزی را به محققان اهدا خواهد کرد.
آسیبهای:
- Cross-site scripting
- Cross-site request forgery (CSRF)
- Cross tenant data tempering and access
- insecure direct object reference
- insecure deserialization
- injection bugs
- server-side code execution
و هر اشتباه امنیتی دیگری که توسط شکارچیان Microsoft Bug Bounty و تحت شرایط برنامه کشف شود قابل قبول میباشد، اگرچه باگهای denial-of-service در محدوده این برنامه قرار نمیگیرند و شامل جایزه نخواهند شد.
محققان باید یک مستند به صورت نوشته شده یا یک ویدئو از یافتههایشان یا یک توصیف از آسیبپذیری، و کد proof-of-concept (PoC) به مهندسین مایکروسافت ارائه دهند تا بتوانند باگ و حملات بالقوه را از بین ببرند.