Microsoft macht sich jetzt, nachdem das Unternehmen im November 2014 die Umwandlung des .NET-Frameworks in ein Open-Source-Projekt bekannt gab, daran, die Community bei dessen Absicherung zur Hilfe zu motivieren. Daher sind Entwickler und Sicherheitsforscher aufgerufen, dem Unternehmen Schwachstellen in den Vorabversionen von .NET Core CLR und ASP.NET 5 bis Mitte Januar 2016 zu melden. Microsoft verspricht im Gegenzug Vergütungen, die je nach Komplexität des Beweises der Sicherheitslücke und Gefährdungslevel zwischen 500 und 15.000 US-Dollar liegen können. Zudem hält das Unternehmen es sich offen, bei entsprechender Leistung mehr zu bezahlen.

Alle Einreichungen, die in den aktuellen Vorversionen (Beta oder Release Candidate) in CoreCLR, ASP.NET 5 oder den Standardtemplates der ASP.NET Web Tools Extension für Visual Studio 2015 eine bisher unbekannte Schwachstelle und präzise Anweisungen zu ihrer Reproduktion enthalten, werden berücksichtigt. Darüber hinaus ist die Schwachstelle nur Microsoft offenzulegen und anderweitig nicht zu publizieren. In den Konditionen des Bounty-Programms lassen sich auf der Unternehmenswebsite weitere Bedingungen nachlesen.

(mt, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE