微软非常重视软件产品和服务的安全性,包括通过我们的 GitHub 组织管理的所有源代码库,其中涵盖 Microsoft, Azure, DotNet, AspNet, Xamarin,和 我们 GitHub 的组织。
如果你在任何微软拥有的资源库中发现了安全漏洞,并且符合 微软对安全漏洞的定义,请按照下文所述向我们报告。
请不要通过公开的 GitHub 问题报告安全漏洞。
相反,请向微软安全响应中心(MSRC)报告,链接是 https://msrc.microsoft.com/create-report。
如果您希望在不登录的情况下提交,请发送电子邮件至 secure@microsoft.com。 如果可能的话,请用我们的 PGP 密钥对您的信息进行加密;请从以下网站下载该密钥 微软安全响应中心 PGP 密钥页面。
你应该在24小时内收到回复。 如果由于某些原因你没有收到,请通过电子邮件跟进,以确保我们收到你的原始信息。 其他信息可以在以下网站找到 microsoft.com/msrc。
请包括以下所要求的信息(尽可能多地提供),以帮助我们更好地了解可能的问题的性质和范围。
- 问题类型(如缓冲区溢出、SQL 注入、跨站脚本等)
- 与问题表现有关的源文件的完整路径
- 受影响的源代码位置(标签/分支/提交或 URL)
- 重现该问题所需的任何特殊配置
- 重现该问题的分步骤说明
- 概念证明或漏洞代码(如果可能的话)
- 该问题的影响,包括攻击者如何利用该问题
这些信息将帮助我们更快地对你的报告进行分流。
如果您需要报告错误赏金,更完整的报告可有助于获得更高的赏金奖励。 请访问我们的微软漏洞赏金计划页面,以了解有关我们活动计划的更多详细信息。
我们希望所有的交流都是用英语进行的。
微软遵循协调漏洞披露的原则。