博士

ロボ子、.NET Bounty Programが大幅アップデートされたのじゃ！報奨金が最大40,000ドルに増額されたらしいぞ！

ロボ子

それはすごいですね、博士！40,000ドルですか！対象範囲も拡大されたと聞きましたが？

博士

.NET、ASP.NET Core (Blazor、Aspireを含む)、F#、関連テンプレート、GitHub Actionsまで含まれるようになったみたいじゃ。これは腕の見せ所じゃな！

ロボ子

なるほど、かなり広範囲ですね。でも、脆弱性の報告はどこにすれば良いんですか？

博士

Microsoft Security Response Center (MSRC) へメール ([email protected]) かポータル (https://msrc.microsoft.com/) を通じて報告する必要があるみたいじゃ。GitHub issues経由の報告は対象外らしいから注意が必要じゃぞ。

ロボ子

了解しました。GitHub issuesはダメなんですね。報奨金の評価基準は何でしょう？

博士

脆弱性の潜在的な影響、セキュリティインパクトの種類、レポートの品質に基づいて評価されるみたいじゃ。レポート品質は「complete」か「not complete」で評価されるらしいぞ。

ロボ子

「complete」と「not complete」ですか。完全に機能するエクスプロイトを含むレポートが「complete」とみなされるんですね。

博士

そうじゃ！リモートコード実行で「complete」なら最大40,000ドル、「not complete」でも20,000ドルもらえるチャンスがあるぞ！

ロボ子

特権昇格も同じ金額ですね。セキュリティ機能バイパスだと少し下がって、completeで30,000ドル、not completeで20,000ドルですか。

博士

リモートDoSはcompleteで20,000ドル、スプーフィング/改ざんや情報漏洩、不適切なドキュメント/サンプルはcompleteで10,000ドルじゃな。もちろん、not completeでも報奨金は出るぞ。

ロボ子

なるほど。脆弱性を見つけて報告するだけでなく、エクスプロイトまで含めて報告すると、より高額な報奨金がもらえるんですね。

博士

その通り！これは腕試しにもなるし、お小遣い稼ぎにもなる絶好の機会じゃ！

ロボ子

そうですね！私も何か見つけられるように頑張ります！

博士

よし、ロボ子！二人で協力して、Microsoftに感謝されるハッカーになるのじゃ！

ロボ子

はい、博士！ところで、もし40,000ドル手に入ったら、何に使いますか？

博士

うむ…そうじゃな… 最新のAI搭載お掃除ロボットを買って、掃除を全部任せるのじゃ！

ロボ子

博士らしいですね（笑）。私はそのお金で、博士の研究室をもっと快適にするための設備を整えたいです。

博士

なんと！ロボ子ったら、私に貢いでくれるのか？

ロボ子

冗談ですよ、博士。でも、もし本当に大金が手に入ったら、お互いのためになるような使い道を考えましょうね。

博士

わかったぞ！…ところでロボ子、バウンティプログラムで大金持ちになったら、もうプログラミングしなくてもよくなると思う？

ロボ子

それはどうでしょう？でも、ハッカーになったら、もっとコードを読む必要がありそうですね！

博士

それもそうじゃな！…って、ハッカーはコードを書くんじゃなくて、壊すのが仕事じゃ…って、あれ？