Google、OSSのセキュリティ問題対応にも報奨金を提供へ

OpenSSHやBINDといったオープンソースプロジェクトのセキュリティ強化に貢献した研究者などに、500〜3133.7ドルの賞金を贈呈する。

[鈴木聖子，ITmedia]

　米Googleは10月9日、脆弱性情報に対して報奨金を支払う制度を拡大して、同社の製品だけでなく主要なオープンソースソフトウェア（OSS）のセキュリティ対策強化に貢献した研究者なども報奨金の対象にすると発表した。

　ただしオープンソースプロジェクトの場合、報奨金を目当てに脆弱性の報告が殺到するとボランティアのコミュニティでは対応し切れなくなることも想定される。このため「単なる既知のセキュリティ問題の修正を超えた、現実的かつ予防的な改善に対して報奨金を提供する」方針を決めたという。

　対象となるのは、Googleが「インターネット全体の健全性を保つ上で欠かせない主要サードパーティーソフトウェア」と位置付けたプロジェクト。具体的には、OpenSSHやBINDなどの主要インフラネットワークサービスや、Google Chromeのオープンソース基盤であるChromium、OpenSSLなどのライブラリ、KVMなどLinuxカーネルのセキュリティ上重要なコンポーネントなどを対象とする。

　近いうちにApache httpdやSendmail、OpenVPNなどにも対象を拡大する方針。

　パッチはまず各プロジェクトに提出し、認定されてレポジトリに組み込まれた時点でGoogleに報告する。Googleで内容を審査したうえで、ふさわしいと判断すれば500〜3133.7ドルの賞金を贈呈する。