3.7 KiB
セキュリティ
Microsoftは、ソフトウェア製品およびサービスのセキュリティを非常に重視しています。これには、Microsoft、Azure、DotNet、AspNet、Xamarin、および当社のGitHub組織を通じて管理されるすべてのソースコードリポジトリが含まれます。
もし、Microsoftのセキュリティ脆弱性の定義に該当するセキュリティ脆弱性をMicrosoft所有のリポジトリで発見したと思われる場合は、以下の手順に従って報告してください。
セキュリティ問題の報告
セキュリティ脆弱性を公開のGitHubイシューで報告しないでください。
代わりに、Microsoft Security Response Center (MSRC)に報告してください:https://msrc.microsoft.com/create-report。
ログインせずに提出したい場合は、secure@microsoft.comにメールを送信してください。可能であれば、メッセージをPGPキーで暗号化してください。PGPキーはMicrosoft Security Response Center PGP Key pageからダウンロードできます。
24時間以内に返信を受け取るはずです。万が一返信がない場合は、最初のメッセージが届いているか確認するためにメールでフォローアップしてください。追加情報はmicrosoft.com/msrcで確認できます。
可能な限り、以下の情報を含めてください。これにより、問題の性質と範囲をよりよく理解できます:
- 問題の種類(例:バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティングなど)
- 問題が発生するソースファイルのフルパス
- 影響を受けるソースコードの場所(タグ/ブランチ/コミットまたは直接のURL)
- 問題を再現するために必要な特別な構成
- 問題を再現するためのステップバイステップの手順
- 概念実証やエクスプロイトコード(可能な場合)
- 問題の影響、攻撃者がどのように問題を悪用するか
この情報は、レポートの優先順位を迅速に決定するのに役立ちます。
バグ報奨金のために報告する場合、より詳細なレポートはより高い報奨金に貢献することがあります。現在のプログラムの詳細については、Microsoft Bug Bounty Programページをご覧ください。
優先言語
すべてのコミュニケーションは英語で行うことを推奨します。
ポリシー
MicrosoftはCoordinated Vulnerability Disclosureの原則に従います。
免責事項: この文書は機械翻訳AIサービスを使用して翻訳されています。正確さを期すために努めていますが、自動翻訳には誤りや不正確さが含まれる場合がありますのでご注意ください。元の言語で書かれた文書が信頼できる情報源と見なされるべきです。重要な情報については、専門の人間による翻訳をお勧めします。この翻訳の使用に起因する誤解や誤訳について、当社は一切の責任を負いません。