Microsoft neemt de beveiliging van onze softwareproducten en -services serieus, waaronder alle broncodeopslagplaatsen die worden beheerd via onze GitHub-organisaties, waaronder Microsoft, Azure, DotNet, AspNet, Xamarin en onze GitHub-organisaties.

Als u denkt dat u een beveiligingslek hebt gevonden in een opslagplaats die eigendom is van Microsoft en voldoet aan de Microsoft-definitie van een beveiligingslek, meld dit dan aan ons zoals hieronder beschreven.

Meld beveiligingsproblemen niet via openbare GitHub-problemen.

Meld ze in plaats daarvan aan het Microsoft Security Response Center (MSRC) op https://msrc.microsoft.com/create-report.

Als u liever instuurt zonder in te loggen, stuur dan een e-mail naar secure@microsoft.com. Versleutel uw bericht indien mogelijk met onze PGP-sleutel; download deze van de Microsoft Security Response Center PGP-sleutelpagina.

U zou binnen 24 uur een reactie moeten ontvangen. Als u om wat voor reden dan ook niet reageert, neem dan contact op via e-mail om er zeker van te zijn dat we uw oorspronkelijke bericht hebben ontvangen. Aanvullende informatie is te vinden op microsoft.com/msrc.

Voeg de hieronder vermelde gevraagde informatie toe (zoveel als u kunt verstrekken) om ons te helpen de aard en omvang van het mogelijke probleem beter te begrijpen:

• Type probleem (bijvoorbeeld bufferoverloop, SQL-injectie, cross-site scripting, enzovoort).
• Volledige paden van bronbestanden gerelateerd aan de manifestatie van het probleem
• De locatie van de betreffende broncode (tag/branch/commit of directe URL)
• Elke speciale configuratie die nodig is om het probleem te reproduceren
• Stapsgewijze instructies om het probleem te reproduceren
• Proof-of-concept of exploitcode (indien mogelijk)
• Gevolgen van het probleem, inclusief hoe een aanvaller het probleem kan misbruiken

Met deze informatie kunnen we uw melding sneller beoordelen.

Als u rapporteert voor een bug bounty, kunnen completere rapporten bijdragen aan een hogere beloning. Bezoek onze pagina over het Microsoft Bug Bounty-programma voor meer informatie over onze actieve programma's.

We geven er de voorkeur aan dat alle communicatie in het Engels is.

Microsoft volgt het principe van Coordinated Vulnerability Disclosure.