.NET框架有赏金程序吗？

Question

微软.NET Bounty程序声明“.NET框架中的漏洞，或运行在.NET框架(Webforms或MVC)上的任何ASP.NET框架中的漏洞”超出了范围。

.NET框架是否被另一个赏金程序所覆盖？

或者只是被认为是“低严重程度或超出范围”？如果这是真的，它对它的安全意味着什么？

Answer 1

.NET由两个主要组件组成:运行时和框架。运行时是.NET的一部分，它管理.NET进程的运行时执行，它包括类似于JIT的内容。该框架是在.NET环境中使用的一组类库，提供像System.Text或System.Security.Cryptography这样的名称空间。

继.NET Framework4.x之后，微软启动了一个名为.NET核心的新项目。这对于生态系统来说是一个巨大的改变，它删除了许多遗留API和特性，因此它被作为自己的东西来分叉。核心是跨平台的，基本上是开源的。在微软将核心项目作为.NET 5的规范版本之前，已经发布了三个主要版本(以.NET Core3.x结尾)。

".NET框架“(注意大写F)指的是4.x版本和.NET类库之前的版本。这些都是旧的、预核心的框架。它们在旧的.NET运行时运行。

".NET运行时“(注意大写R)通常指运行在.NET框架上的应用程序的公共语言运行库(CLR)。

与Core一起引入的新框架通常称为CoreFX或CoreFX。这些是与.NET框架标准库相当的.NET核心库。新的运行时称为Core。

还有一个标准化的API子集，对于.NET框架和.NET核心来说都是通用的。这被称为.NET标准。

微软的意思是：

.NET框架中的漏洞，或运行在.NET框架(Webforms或.NET)上的任何.NET框架中的漏洞。

是.NET框架中的漏洞，以及它们的ASP.NET对应方，即核心之前的框架，不在范围之内，因为它们现在要么是遗留产品，要么是“旧分支”产品，它们在bug奖励中没有覆盖。请注意，它们不排除.NET运行时，因为这对安全仍然具有很高的相关性，尽管CoreCLR是他们未来的重点。