Microsoft nimmt die Sicherheit unserer Softwareprodukte und -dienste ernst, einschließlich aller Quellcoderepositorys, die über unsere GitHub-Organisationen verwaltet werden, darunter Microsoft, Azure, DotNet, AspNet, Xamarin und unsere GitHub-Organisationen.

Wenn Sie der Meinung sind, dass Sie eine Sicherheitsanfälligkeit in einem von Microsoft betriebenen Repository gefunden haben, das der Definition einer Sicherheitsanfälligkeit von Microsoft entspricht, melden Sie uns diese bitte wie unten beschrieben.

Melden Sie Sicherheitslücken nicht über öffentliche GitHub-Probleme.

Melden Sie sie stattdessen dem Microsoft Security Response Center (MSRC) unter https://msrc.microsoft.com/create-report.

Wenn Sie es vorziehen, ohne sich anzumelden, senden Sie E-Mails an secure@microsoft.com. Verschlüsseln Sie Ihre Nachricht nach Möglichkeit mit unserem PGP-Schlüssel; Bitte laden Sie sie von der Seite "PGP Key" des Microsoft Security Response Centers herunter.

Sie sollten innerhalb von 24 Stunden eine Antwort erhalten. Wenn Sie dies aus irgendeinem Grund nicht tun, führen Sie bitte eine Nachverfolgung per E-Mail durch, um sicherzustellen, dass wir Ihre ursprüngliche Nachricht erhalten haben. Weitere Informationen finden Sie unter microsoft.com/msrc.

Bitte geben Sie die unten aufgeführten angeforderten Informationen an (soweit Sie dies bereitstellen können), um uns zu helfen, die Art und den Umfang des möglichen Problems besser zu verstehen:

• Art des Problems (z. B. Pufferüberlauf, SQL-Einfügung, websiteübergreifendes Skripting usw.)
• Vollständige Pfade der Quelldatei(en) im Zusammenhang mit der Manifestation des Problems
• Der Speicherort des betroffenen Quellcodes (Tag/Verzweigung/Commit oder direkte URL)
• Jede spezielle Konfiguration, die erforderlich ist, um das Problem zu reproduzieren
• Schrittweise Anleitungen zum Reproduzieren des Problems
• Proof-of-Concept- oder Exploit-Code (wenn möglich)
• Auswirkungen des Problems, einschließlich der Art und Weise, wie ein Angreifer das Problem ausnutzen könnte

Diese Informationen helfen uns, Ihren Bericht schneller zu selektieren.

Wenn Sie eine Bug-Kopfgeld-Prämie melden, können umfassendere Berichte zu einer höheren Prämienprämie beitragen. Weitere Details zu unseren aktiven Programmen finden Sie auf unserer Seite des Microsoft Bug Bounty-Programms .

Wir bevorzugen die gesamte Kommunikation in Englisch.

Microsoft folgt dem Prinzip der koordinierten Offenlegung von Sicherheitsrisiken.