微软近日宣布对其.NET漏洞赏金计划进行重大更新，显著提高了奖励金额。新的奖励范围从7000美元起，最高可达4万美元，旨在激励安全研究人员发现并报告.NET和ASP.NET Core等相关技术中的软件安全漏洞。此次更新细化了不同类型漏洞（如远程代码执行、权限提升、安全功能绕过等）的奖励等级，并明确了报告的完整性和影响程度是评定奖励高低的关键因素。该计划现已扩展至涵盖所有受支持的.NET和ASP.NET版本，以及相关的模板、GitHub Actions和F#等技术，进一步加强了.NET生态系统的安全性。

💰 **奖励大幅提升，最高可达4万美元：** 微软将.NET漏洞赏金计划的最高奖励从先前的数额提升至4万美元，旨在更有效地激励安全研究人员积极参与，发现并报告软件中的潜在安全风险。

🎯 **漏洞类型与奖励细分明确：** 新的奖励结构对不同安全漏洞（如远程代码执行、权限提升、安全功能绕过、拒绝服务、欺骗/篡改、信息披露等）的奖励金额进行了详细划分，并根据报告的完整性和安全影响程度区分了不同等级的奖励。

🔧 **覆盖范围扩展至更广泛的技术栈：** 除了原先的.NET和ASP.NET Core，更新后的计划现已涵盖所有受支持的.NET和ASP.NET版本，包括适用于.NET Framework的ASP.NET Core，以及相关的模板、GitHub Actions和F#等技术，扩大了研究人员的关注范围。

📝 **“完整性”标准明确，激励高质量报告：** 计划更新中包含了关于如何将报告视为“完整”的指南，强调提供详细文档和证明漏洞的严重影响是获得最高奖励的前提，从而鼓励研究人员提交更具价值和可操作性的安全报告。

许多公司提供漏洞赏金计划，鼓励人们搜索并发现软件中的安全漏洞，并私下向供应商报告，以便在恶意攻击者利用漏洞之前实施并应用修复程序。安全研究人员和其他公众会获得金钱奖励，从而获得经济激励。现在，微软已宣布对其 .NET Bounty 计划进行重大更新。

奖励金额现从 7000 美元起，最高可达令人垂涎的 40000 美元。请注意，最高奖励仅适用于私下披露远程代码执行 (RCE) 或特权提升 (EoP) 漏洞，并提供完整文档且造成严重影响的情况。

各奖励等级的细分如下：

安全影响	报告质量	批判的	重要的
远程代码执行	完整的	4万美元	3万美元
	未完成	2万美元	2万美元
权限提升	完整的	4万美元	10，000美元
	未完成	2万美元	4，000美元
安全功能绕过	完整的	3万美元	10，000美元
	未完成	2万美元	4，000美元
远程拒绝服务	完整的	2万美元	10，000美元
	未完成	15，000美元	4，000美元
欺骗或篡改	完整的	10，000美元	5，000 美元
	未完成	7，000美元	3，000 美元
信息披露	完整的	10，000美元	5，000 美元
	未完成	7，000美元	3，000 美元
文档或文档中包含的样本是不安全的或鼓励不安全的，并且不被描述为不考虑安全性的样本	完整的	10，000美元	5，000 美元
	未完成	7，000美元	3，000 美元

值得注意的是，.NET 赏金计划主要围绕 .NET 和ASP.NET Core 展开，包括 Blazor 和 Aspire。但新的产品类别现在涵盖了所有受支持的 .NET 和ASP.NET版本、适用于 .NET Framework 的ASP.NET Core、上述内容提供的模板、其存储库中的 GitHub Actions 以及 F# 等相关技术。

更新后的奖励结构确保了严重性等级的明确定义，以便高影响的问题获得更高的奖励，同时还提供了关于如何将报告视为“完整”的指南。您可以在微软的专门博客文章中找到更多信息。