微软高度重视我们软件产品和服务的安全性，这包括我们 GitHub 组织下管理的所有源代码仓库，包括 Microsoft、Azure、DotNet、AspNet、Xamarin 以及 我们的 GitHub 组织。

如果您认为在任何微软拥有的仓库中发现了符合微软安全漏洞定义的安全漏洞，请按照下述方式向我们报告。

请不要通过公开的 GitHub issue 报告安全漏洞。

请通过 Microsoft 安全响应中心（MSRC）https://msrc.microsoft.com/create-report 报告安全问题。

如果您希望匿名提交，请发送邮件至 secure@microsoft.com。如有可能，请使用我们的 PGP 密钥加密您的消息；可从 Microsoft Security Response Center PGP Key page 下载。

您应在 24 小时内收到回复。如未收到，请通过邮件跟进以确保我们收到您的原始消息。更多信息请访问 microsoft.com/msrc。

请尽可能提供以下信息，以帮助我们更好地理解问题的性质和范围：

• 问题类型（如缓冲区溢出、SQL 注入、跨站脚本等）
• 与问题相关的源文件完整路径
• 受影响源代码的位置（标签/分支/提交或直接 URL）
• 复现问题所需的特殊配置
• 复现问题的详细步骤
• 概念验证或利用代码（如有）
• 问题影响，包括攻击者可能如何利用该问题

这些信息将帮助我们更快地处理您的报告。

如果您是为漏洞赏金计划报告，报告越完整，奖励金额可能越高。详情请访问 Microsoft Bug Bounty Program 页面。

我们建议所有交流使用英文。

微软遵循协调式漏洞披露原则。