Microsoft neemt de beveiliging van onze softwareproducten en -services serieus, waaronder alle broncodeopslagplaatsen die worden beheerd via onze GitHub-organisaties, waaronder Microsoft, Azure, DotNet, AspNet, Xamarin en onze GitHub-organisaties.
Als u denkt dat u een beveiligingslek hebt gevonden in een opslagplaats die eigendom is van Microsoft en voldoet aan de Microsoft-definitie van een beveiligingslek, meld dit dan aan ons zoals hieronder beschreven.
Meld beveiligingsproblemen niet via openbare GitHub-problemen.
Meld ze in plaats daarvan aan het Microsoft Security Response Center (MSRC) op https://msrc.microsoft.com/create-report.
Als u liever instuurt zonder in te loggen, stuur dan een e-mail naar secure@microsoft.com. Versleutel uw bericht indien mogelijk met onze PGP-sleutel; download deze van de Microsoft Security Response Center PGP-sleutelpagina.
U zou binnen 24 uur een reactie moeten ontvangen. Als u om wat voor reden dan ook niet reageert, neem dan contact op via e-mail om er zeker van te zijn dat we uw oorspronkelijke bericht hebben ontvangen. Aanvullende informatie is te vinden op microsoft.com/msrc.
Voeg de hieronder vermelde gevraagde informatie toe (zoveel als u kunt verstrekken) om ons te helpen de aard en omvang van het mogelijke probleem beter te begrijpen:
- Type probleem (bijvoorbeeld bufferoverloop, SQL-injectie, cross-site scripting, enzovoort).
- Volledige paden van bronbestanden gerelateerd aan de manifestatie van het probleem
- De locatie van de betreffende broncode (tag/branch/commit of directe URL)
- Elke speciale configuratie die nodig is om het probleem te reproduceren
- Stapsgewijze instructies om het probleem te reproduceren
- Proof-of-concept of exploitcode (indien mogelijk)
- Gevolgen van het probleem, inclusief hoe een aanvaller het probleem kan misbruiken
Met deze informatie kunnen we uw melding sneller beoordelen.
Als u rapporteert voor een bug bounty, kunnen completere rapporten bijdragen aan een hogere beloning. Bezoek onze pagina over het Microsoft Bug Bounty-programma voor meer informatie over onze actieve programma's.
We geven er de voorkeur aan dat alle communicatie in het Engels is.
Microsoft volgt het principe van Coordinated Vulnerability Disclosure.