なぜcurlプロジェクトはバグ報奨制度を廃止したのか？：セキュリティニュースアラート

curlプロジェクトは2026年1月末でバグ報奨制度を廃止すると発表した。その背景には昨今の新技術の普及やオープンソース運営の在り方が関係していた。

[ITmedia エンタープライズ編集部]

　オープンソースの通信ツール「curl」プロジェクトは、バグ報奨制度を廃止する方針を明らかにした。2026年1月末に制度を終了し、以降は金銭的な報酬を伴うバグ報告を受け付けないと発表している。

　curlは、コマンドラインから利用できるデータ転送ツールであり、HTTPやFTPなど多数の通信プロトコルを扱えることから、開発者やシステム運用者に広く利用されてきた。内部で使われるライブラリーである「libcurl」も含め、さまざまなソフトウェアやサービスの基盤となっている。長年にわたり活発な開発が続けられ、セキュリティ対応も重要な活動の一つだった。

curlはなぜバグ報奨制度を打ち切ったのか？　問われるオープンソースの在り方

　curlプロジェクトは「HackerOne」や「Internet Bug Bounty」らのセキュリティコミュニティーと連携し、報告された脆弱（ぜいじゃく）性の深刻度に応じて報酬を支払う制度を運用してきた。2025年には中程度と評価された脆弱性に対し、1件当たり2500ドルが支払われた事例もあった。報告内容はcurlのセキュリティチームが精査し、修正と公表をへたものだけが対象とされていた。

　ではなぜcurlプロジェクトはバグ報奨制度を打ち切ったのか。

　背景には十分に調査されていない報告や、AIで生成されたとみられる内容を含む投稿が増加し、プロジェクト運営に大きな負荷が生じたことが関係している。

　開発者のダニエル・ステンベルグ氏がメーリングリストに投稿した説明においては、2026年に入って短期間に多数の報告が寄せられ、その多くが脆弱性と認められない内容だったという。AI生成の可能性がある報告も含まれ、調査や対応に相当な時間を要した。報奨金の存在が、不十分な検証のまま問題点を提示する動機を強めているとプロジェクト側は判断した。

　「GitHub」の関連文書やプルリクエストでも、報奨制度を文書から削除する作業が進められている。ステンベルグ氏は、制度終了が根本的な解決策とは限らない認識を示しつつも、限られた人数で運営されるプロジェクトとして、過度な負担を軽減する必要があると説明した。制度終了後も、正当な脆弱性報告そのものを否定するものではなく、金銭的報酬がなくても重要な報告が寄せられることを期待するとしている。

　2026年2月以降、新たなセキュリティ報告はHackerOneでは受け付けず、GitHubを通じた運用に移行する予定だ。進行中の報告については、従来の手順に沿って処理される見込みであり、突然の打ち切りにはならない。AIの普及がオープンソース開発の現場にも影響を及ぼす中、世界的に広く使われる基盤ソフトにおける制度変更は、オープンソースの安全確保の在り方に一石を投じる動きと言える。