微軟已經(jīng)為Azure DevOps云服務(wù)推出了一個(gè)新的bug賞金計(jì)劃，為感興趣的研究人員提供高達(dá)20,000美元的獎(jiǎng)勵(lì)。

周四，微軟透露， bug賞金計(jì)劃現(xiàn)已開(kāi)放給愿意幫助提高Azure DevOps安全性的研究人員，Azure DevOps是一個(gè)用于代碼開(kāi)發(fā)協(xié)作目的的基于云的平臺(tái)。

Azure DevOps被全球開(kāi)發(fā)人員用于處理與代碼相關(guān)的項(xiàng)目，包括測(cè)試管道，私有Git repo訪問(wèn)，包和工件創(chuàng)建以及測(cè)試工具。

微軟安全響應(yīng)中心(MSRC)高級(jí)項(xiàng)目經(jīng)理Jarek Stanley表示，新計(jì)劃“致力于為我們的DevOps客戶(hù)提供堅(jiān)如磐石的安全性”。

Bug獎(jiǎng)金獎(jiǎng)金從500美元到20,000美元不等。導(dǎo)致遠(yuǎn)程代碼執(zhí)行(RCE)的最嚴(yán)重錯(cuò)誤有資格獲得最高獎(jiǎng)勵(lì)，但根據(jù)嚴(yán)重程度 - 排名為“高”，“中等”和“低” - 支出固定在10,000美元，15,000美元或20,000美元。

除了RCE漏洞之外，微軟還為有關(guān)特權(quán)升級(jí)，信息泄露，欺騙和系統(tǒng)篡改的錯(cuò)誤報(bào)告授予研究人員獎(jiǎng)勵(lì)。

跨站點(diǎn)腳本(XSS)缺陷，跨站點(diǎn)請(qǐng)求偽造(CSRF)，跨租戶(hù)數(shù)據(jù)篡改和訪問(wèn)，不安全的直接對(duì)象引用，不安全的反序列化，注入錯(cuò)誤，服務(wù)器端代碼執(zhí)行以及任何“重大”安全性錯(cuò)誤配置根據(jù)該計(jì)劃的條款，臭蟲(chóng)賞金獵人出土都是可以接受的，

但是，拒絕服務(wù)的錯(cuò)誤被認(rèn)為超出了范圍，并且不會(huì)得到獎(jiǎng)勵(lì)。