3.9 KiB
セキュリティ
Microsoftは、ソフトウェア製品やサービスのセキュリティを非常に重要視しています。これには、Microsoft、Azure、DotNet、AspNet、Xamarin、および弊社のGitHub組織で管理されているすべてのソースコードリポジトリが含まれます。
もし、Microsoftが所有するリポジトリにおいてMicrosoftのセキュリティ脆弱性の定義に該当するセキュリティ脆弱性を発見した場合は、以下の手順に従って報告してください。
セキュリティ問題の報告
セキュリティ脆弱性を公開されたGitHubのIssueで報告しないでください。
代わりに、Microsoft Security Response Center (MSRC) に以下のリンクから報告してください:https://msrc.microsoft.com/create-report。
ログインせずに提出したい場合は、secure@microsoft.comにメールを送信してください。可能であれば、メッセージを弊社のPGPキーで暗号化してください。PGPキーはMicrosoft Security Response Center PGP Keyページからダウンロードできます。
通常、24時間以内に返信を受け取ることができます。もし返信がない場合は、元のメッセージが届いているか確認するためにメールで再度お問い合わせください。追加情報はこちらで確認できます。
以下の情報を可能な限り提供してください。これにより、問題の性質と範囲をより正確に理解することができます:
- 問題の種類(例: バッファオーバーフロー、SQLインジェクション、クロスサイトスクリプティングなど)
- 問題が発生する関連ソースファイルの完全なパス
- 影響を受けるソースコードの場所(タグ/ブランチ/コミットまたは直接URL)
- 問題を再現するために必要な特別な設定
- 問題を再現するための手順
- 概念実証やエクスプロイトコード(可能であれば)
- 問題の影響、攻撃者がどのように問題を悪用する可能性があるか
これらの情報を提供することで、報告の優先順位付けが迅速に行われます。
バグ報奨金プログラムに報告する場合、より詳細な報告は高額な報奨金につながる可能性があります。現在のプログラムについてはMicrosoft Bug Bounty Programページをご覧ください。
推奨言語
すべてのコミュニケーションは英語で行うことを推奨します。
ポリシー
MicrosoftはCoordinated Vulnerability Disclosureの原則に従っています。
免責事項:
この文書はAI翻訳サービスCo-op Translatorを使用して翻訳されています。正確性を追求しておりますが、自動翻訳には誤りや不正確な部分が含まれる可能性があります。元の言語で記載された文書を正式な情報源としてお考えください。重要な情報については、専門の人間による翻訳を推奨します。この翻訳の使用に起因する誤解や誤解釈について、当方は一切の責任を負いません。