ニュース
Google、Androidの脆弱性情報に賞金 Mozillaは増額
「Android Security Rewards 」では、Androidの脆弱性を発見し、修正や対策に協力した研究者に賞金を贈呈。Firefoxの脆弱性発見者に支払われる賞金は5年ぶりに増額された。
米Googleは6月16日、脆弱性情報の提供者に賞金を提供する制度の対象をAndroidにも拡大すると発表した。これに先立ちMozillaは、Firefoxの脆弱性情報に対して支払う賞金の額を5年ぶりに増やすと発表している。
Googleの新制度「Android Security Rewards」では、Androidの脆弱性を発見し、修正や対策に協力した研究者に賞金を贈呈する。当面の対象となるのはGoogle Play(米国版)で販売しているNexusシリーズのスマートフォンとタブレット。現時点ではNexus 6とNexus 9が該当する。
賞金は危険度に応じて脆弱性情報1件当たり500〜2000ドルを提供し、CTS(Compatibility Test Suite)テストやパッチ開発に協力した場合はさらに上乗せする。重大性が極めて高いと判断した場合などは高額の賞金を支払う場合もある。
一方、Mozillaはこれまで危険度「最高」または「高」と認定されたFirefoxの脆弱性に対して最高で3000ドルを支払っていたが、今回の改訂では質の高さや悪用可能性に応じて新たに「5000ドル」「7500ドル」「1万ドル+」の段階を設定した。
また、「中」程度の脆弱性も新たに賞金の対象となり、重要度に応じて500〜2500ドルが贈呈される。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
Microsoft、「Spartan」ブラウザの脆弱性報告に報奨金を進呈
Spartanのリモートコード実行やサンドボックス迂回の脆弱性、設計レベルのセキュリティ問題について報告を促し、こうした脆弱性の発見者に重要度に応じた賞金を支払う。
Adobe、Webアプリケーションの脆弱性情報の報告を要請
「HackerOne」サイト上に開設されたAdobeの脆弱性情報公開プログラムのページでは、研究者などが同社のオンラインサービスに存在するWebアプリケーションの脆弱性を非公開で報告できる。
Facebookの脆弱性情報、2014年は総額130万ドルの賞金を贈呈
2014年は65カ国の研究者321人に賞金を贈呈。危険度が高い脆弱性の報告件数は前年より49%増えた。
「バグ報告に報奨金」で品質改善に効果あり、サイボウズが再び実施へ
海外ではGoogleなどが導入している脆弱性報告者の報奨金制度をサイボウズも実施した。製品やサービスの品質改善につながったとして、2015年も実施することになった。