新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類し、それに応じて賞金の額を設定した。
米Mozilla Foundationは5月11日、脆弱(ぜいじゃく)性を発見した研究者に報奨金を贈呈するバウンティプログラムについて、Mozilla傘下のWebサイトを対象とする報奨制度の刷新を発表した。
Mozillaは2004年8月から、Firefoxなどのソフトウェアを対象とするバウンティプログラムを開始。2010年12月からは、Mozilla製品やサービスの提供、運営、情報共有などに使われているWebサイトの脆弱性も報奨金の対象とした。
しかし、例えば同じSQLインジェクションの脆弱性が見つかった場合でも、「mozilla.org」や「Bugzilla」といったMozillaのサービスを支える主要サイトの場合、それ以外のサイトに比べてリスクの程度は高いとMozillaは説明する。だが、そうしたリスクの程度に応じた賞金の額について、情報提供者には分かりにくい部分もあったため、Webサイトの脆弱性について、バウンティプログラムの内容を刷新することにしたという。
新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類。例えば「firefox.com」「mozilla.com」「bugzilla.mozilla.org」などのサイトはCriticalに分類し、「login.mozilla.com」などのサイトはCoreに分類している。
賞金の額は、例えばリモートコード実行の脆弱性の場合、Criticalサイトでは5000ドル、Coreサイトでは2500ドル、その他のサイトでは500ドルに設定した。
「分かりやすい表を用意することで、バウンティハンターは、賞金が受け取れると分かっている脆弱性に時間と労力を注ぐことが可能になる」とMozillaは説明している。
Copyright © ITmedia, Inc. All Rights Reserved.