Безопасность

Microsoft серьезно относится к обеспечению безопасности наших программных продуктов и услуг, что включает все репозитории исходного кода, управляемые через наши организации GitHub, такие как Microsoft, Azure, DotNet, AspNet, Xamarin и многие другие.

Если вы считаете, что нашли уязвимость безопасности в любом репозитории, принадлежащем Microsoft, который соответствует определению уязвимости безопасности Microsoft (определение), пожалуйста, сообщите нам о ней, как указано ниже.

Отчет о проблемах безопасности

Пожалуйста, не сообщайте о проблемах безопасности через открытые GitHub-issues. Вместо этого отправьте отчет в Центр реагирования Microsoft на вопросы безопасности по адресу secure@microsoft.com. Если возможно, зашифруйте ваше сообщение с помощью нашего ключа PGP; его можно скачать со страницы ключа PGP Центра реагирования Microsoft на вопросы безопасности.

Вы должны получить ответ в течение 24 часов. Если по какой-то причине вы не получили ответа, пожалуйста, свяжитесь с нами повторно по электронной почте, чтобы убедиться, что мы получили ваш первоначальный запрос. Дополнительная информация доступна по адресу microsoft.com/msrc.Пожалуйста, предоставьте запрошенную информацию (по возможности) для лучшего понимания природы и масштаба возможной проблемы:

• Тип проблемы (например, переполнение буфера, внедрение SQL, кросс-сайт скриптинг и т.д.)
• Полные пути исходных файлов, связанных с проявлением проблемы
• Расположение затронутого исходного кода (тэг/ветка/коммит или прямой URL)
• Любое специальное конфигурирование, необходимое для воспроизведения проблемы
• Шаги по шагам для воспроизведения проблемы
• Пример доказательства или код эксплоита (если это возможно)
• Влияние проблемы, включая то, как злоумышленник может использовать эту уязвимость

Эта информация поможет нам быстрее рассмотреть ваш отчет.

Предпочитаемые языки

Мы предпочитаем все коммуникации на английском языке.

Политика

Microsoft следует принципу координированного раскрытия уязвимостей (coordinated vulnerability disclosure).