Mozilla、脆弱性発見者への報奨金制度を刷新

新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類し、それに応じて賞金の額を設定した。

» 2017年05月12日 08時18分 公開
[鈴木聖子ITmedia]

 米Mozilla Foundationは5月11日、脆弱(ぜいじゃく)性を発見した研究者に報奨金を贈呈するバウンティプログラムについて、Mozilla傘下のWebサイトを対象とする報奨制度の刷新を発表した。

 Mozillaは2004年8月から、Firefoxなどのソフトウェアを対象とするバウンティプログラムを開始。2010年12月からは、Mozilla製品やサービスの提供、運営、情報共有などに使われているWebサイトの脆弱性も報奨金の対象とした。

Mozilla報奨金

 しかし、例えば同じSQLインジェクションの脆弱性が見つかった場合でも、「mozilla.org」や「Bugzilla」といったMozillaのサービスを支える主要サイトの場合、それ以外のサイトに比べてリスクの程度は高いとMozillaは説明する。だが、そうしたリスクの程度に応じた賞金の額について、情報提供者には分かりにくい部分もあったため、Webサイトの脆弱性について、バウンティプログラムの内容を刷新することにしたという。

 新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類。例えば「firefox.com」「mozilla.com」「bugzilla.mozilla.org」などのサイトはCriticalに分類し、「login.mozilla.com」などのサイトはCoreに分類している。

 賞金の額は、例えばリモートコード実行の脆弱性の場合、Criticalサイトでは5000ドル、Coreサイトでは2500ドル、その他のサイトでは500ドルに設定した。

 「分かりやすい表を用意することで、バウンティハンターは、賞金が受け取れると分かっている脆弱性に時間と労力を注ぐことが可能になる」とMozillaは説明している。

Mozilla報奨金 対象ごとの報奨金が公開されている

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ