Microsoft étend les primes aux détections de bogues à .NET Core et ASP.NET Core

Microsoft a annoncé que les Microsoft Bounty Programs, qui offrent aux utilisateurs et aux chercheurs des paiements directs en échange de la découverte de certains bogues affectant la sécurité, s’appliquent dorénavant aux versions Windows et Linux de .NET Core et ASP.NET Core. Y compris Kestrel, le nouveau serveur Web de Microsoft.

.NET Core est la refonte de la plateforme de développement .NET pour la rendre multiplateforme et en code source ouvert. De même, ASP.NET Core est la refonte de l’environnement Web ASP.NET.

Les bogues doivent affecter, et on doit pouvoir les reproduire sur les versions RTM, ou les versions RC et bêta pour lesquelles Microsoft offre un support. La version 1.0 a été lancée le 28 juin 2016.

Les vulnérabilités de sécurités doivent être de niveau critique ou important.

Les primes s’échelonneront entre 500 $ et 15 000 $, soit environ entre 450 et 13 500 €, en fonction de la vulnérabilité comme de la qualité du rapport qui la décrit.

Depuis quelques années, la plupart des éditeurs de logiciels offrent des programmes similaires, car ils permettent de découvrir, et de corriger, des vulnérabilités de sécurité plus rapidement.