Microsoft tar säkerheten för våra program och tjänster på allvar, vilket inkluderar alla källkodsdatabaser som hanteras genom våra GitHub organisationer, som omfattar Microsoft, Azure, DotNet, AspNet, Xamarin och våra GitHub-organisationer.

Om du tror att du har hittat ett säkerhetsproblem i en Microsoft-ägd databas som uppfyller Microsoft definition av säkerhetsproblem, rapporterar du det till oss enligt beskrivningen nedan.

Rapportera inte säkerhetsproblem via offentliga GitHub-problem.

I stället rapporterar du dem till Microsoft Security Response Center (MSRC) på https://msrc.microsoft.com/create-report.

Skicka e-post till secure@microsoft.com om du hellre vill skicka utan att logga in. Kryptera meddelandet med PGP-nyckeln, om det är möjligt. Hämta den på sidan Microsoft Security Response Center PGP-nyckel.

Du bör få ett svar inom 24 timmar. Om du av någon anledning inte gör det kan du följa upp via e-post för att säkerställa att vi har fått det ursprungliga meddelandet. Ytterligare information finns på microsoft.com/msrc.

Ange den information som anges nedan (så mycket som du kan tillhandahålla) så att vi bättre kan förstå arten och omfattningen av det möjliga problemet:

• Typ av problem (t.ex. buffertspill, SQL-injektering, Cross Site Scripting osv.)
• Fullständiga sökvägar för källfiler relaterade till manifestet för problemet
• Platsen för den påverkade ursprungs koden (tagg/förgrening/genomför eller direkt URL)
• All särskild konfiguration som krävs för att återskapa problemet
• Steg-för-steg-instruktioner för att återskapa problemet
• Bevis på konceptet eller exploatera kod (om möjligt)
• Problemets inverkan, inklusive hur en angripare kan utnyttja problemet

Med hjälp av den här informationen kan vi sortera rapporten snabbare.

Om du rapporterar för en bug bounty kan mer kompletta rapporter bidra till en bug bounty. Mer information om våra aktiva program hittar du på sidan Microsoft bug bounty-program.

Vi vill att all kommunikation ska vara på engelska.

Microsoft följer principen om Samordnade riktlinjer för att offentliggöra sårbarheter.