Microsoft는 Microsoft, Azure, DotNet, AspNet, Xamarin 및 GitHub 조직을 비롯한 GitHub 조직을 통해 관리되는 모든 소스 코드 리포지토리를 포함한 소프트웨어 제품 및 서비스의 보안을 중요시 여깁니다.
Microsoft 소유 리포지토리에서 Microsoft의 보안 취약성 정의를 충족하는 보안 취약성이 발견되었다고 생각하시는 경우 아래 설명된 대로 보고해 주시기 바랍니다.
보안 문제 보고
공개 GitHub 이슈를 통해 보안 취약성을 보고하지 마세요.
대신 https://msrc.microsoft.com/create-report에서 MSRC(Microsoft 보안 대응 센터)에 보고해 주세요.
로그인하지 않고 제출하려면 secure@microsoft.com에 메일을 보내주세요. 가능하면 PGP 키로 메시지를 암호화해주세요. Microsoft 보안 대응 센터 PGP 키 페이지에서 다운로드할 수 있습니다.
24시간 이내에 응답을 받게 됩니다. 어떤 이유로든 응답을 받지 못한 경우 메일을 통해 후속 조치를 취하여 처음에 보낸 메시지를 MSRC가 받았는지 확인합니다. 추가 정보는 microsoft.com/msrc에서 확인할 수 있습니다.
가능한 문제의 특성 및 범위를 보다 잘 이해할 수 있도록 아래에 나열된 요청 정보를 최대한 많이 포함해 주세요.
- 문제 유형(예: 버퍼 오버플로, SQL 삽입, 사이트 간 스크립팅 등)
- 문제의 규명과 관련된 소스 파일의 전체 경로
- 영향을 받는 소스 코드의 위치(태그/분기/커밋 또는 직접 URL)
- 문제를 재생하는 데 필요한 특별 구성
- 문제를 재생하는 단계별 지침
- 개념 증명 또는 악용 코드(가능한 경우)
- 공격자가 문제를 악용할 수 있는 방법을 포함한 문제의 영향
이러한 정보는 보고를 보다 신속하게 심사하는 데 도움이 됩니다.
버그 포상을 받기 위해 보고할 경우 더 완전한 보고 내용으로 더 많은 포상을 받을 수 있습니다. 진행 중인 프로그램에 대한 자세한 내용은 Microsoft 버그 포상 프로그램 페이지를 참조하세요.
선호 언어
모든 소통은 기본적으로 영어로 제공됩니다.
정책
Microsoft 조정된 취약성 공개의 원칙을 따릅니다.