Microsoft vient d’ouvrir une chasse aux bugs (Bug Bounty) de trois mois pour ceux qui signaleront des vulnérabilités présentes dans deux outils faisant partie de la plate-forme de développement Visual Studio 2015. Ce programme concerne les versions bêta de Core CLR, le moteur d'exécution des framework open source .NET et ASP.NET utilisés par l’éditeur pour développer des sites et des applications web « Plus nos frameworks seront sécurisés, plus vos applications le seront », a indiqué Barry Dorrans, responsable de la sécurité d’ASP.NET, dans un billet de blog. Toutes les plateformes sur lesquelles tournent .NET et ASP.NET seront éligibles à des primes, sauf pour la bêta 8 de Visual Studio qui exclut la plate-forme réseau pour Linux et Mac OS X, « Dans les prochaines versions bêtas et RC, une fois que notre plateforme réseau possèdera la stabilité et la sécurité dont elle fait preuve sur Windows, nous l’ajouterons alors à ce programme », a-t-il précisé.
La firme de Redmond versera entre 500 à 15 000 dollars de primes aux chercheurs en sécurité qui seront récompensés en fonction de « la contribution et de la complexité de leurs propositions ». Cette chasse aux bugs a démarré le 20 octobre dernier et se terminera le 20 janvier 2016. La plus forte récompense reviendra à ceux qui auront trouvé une faille permettant d’exécuter du code à distance, assortie d’un rapport de haute qualité. Les failles de type cross-site request forgery et cross-site scripting seront les moins rétribuées.
Commentaire