Microsoft secara resmi mengumumkan peningkatan jumlah hadiah (bug bounty) untuk kerentanan di platform .NET, dengan nilai maksimal mencapai $40.000. Langkah ini dilakukan sebagai bagian dari upaya memperkuat ekosistem pengembangan mereka dan mendorong komunitas keamanan untuk lebih aktif melaporkan celah kritis.
Fokus pada Keamanan .NET dan ASP.NET Core
Program baru ini mencakup kerentanan yang ditemukan di berbagai komponen .NET dan ASP.NET Core — dua kerangka kerja utama dalam pengembangan aplikasi modern di lingkungan Microsoft. Bug yang paling dihargai adalah yang berdampak tinggi, seperti remote code execution, privilege escalation, atau bypass otentikasi.
Microsoft menyatakan bahwa laporan dengan bukti eksploit yang dapat direproduksi dan menunjukkan dampak luas terhadap pengguna akan mendapatkan imbalan tertinggi.
Skema Imbalan Baru
Berikut rincian umum struktur bug bounty yang diperbarui:
- Hingga $40.000 untuk kerentanan dengan dampak keamanan yang tinggi dan eksploit yang jelas
- Jumlah yang lebih rendah akan diberikan untuk temuan yang kurang berdampak namun tetap valid
- Prioritas diberikan pada laporan yang menyertakan proof-of-concept (PoC) dan analisis teknis mendalam
Microsoft juga membuka peluang kolaborasi lebih lanjut dengan pelapor melalui proses triase yang cepat dan transparan.
Dorong Kontribusi Komunitas
Perusahaan menekankan bahwa inisiatif ini bertujuan untuk membangun kepercayaan dan memperkuat keamanan bagi pengembang yang mengandalkan .NET dalam proyek mereka. Dengan memberikan insentif tinggi, Microsoft berharap dapat mengidentifikasi kerentanan lebih awal — sebelum dimanfaatkan oleh pelaku ancaman.
Program ini melengkapi sejumlah skema bounty lainnya yang telah berjalan, termasuk untuk Azure, Microsoft 365, dan produk Windows.
Peneliti dan Praktisi Diundang Berpartisipasi
Microsoft mengundang semua peneliti keamanan, praktisi forensik, dan bahkan pengembang independen untuk ikut serta dalam program ini. Semua laporan harus dikirim melalui platform resmi dan mengikuti pedoman pengungkapan yang telah ditentukan.
Bagi komunitas keamanan, ini menjadi peluang menarik untuk tidak hanya berkontribusi dalam memperkuat fondasi digital, tetapi juga mendapatkan apresiasi finansial yang setimpal.
Sumber: Microsoft now pays up to $40,000 for some .NET vulnerabilities
