Mozilla、脆弱性発見者への報奨金制度を刷新
新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類し、それに応じて賞金の額を設定した。
米Mozilla Foundationは5月11日、脆弱(ぜいじゃく)性を発見した研究者に報奨金を贈呈するバウンティプログラムについて、Mozilla傘下のWebサイトを対象とする報奨制度の刷新を発表した。
Mozillaは2004年8月から、Firefoxなどのソフトウェアを対象とするバウンティプログラムを開始。2010年12月からは、Mozilla製品やサービスの提供、運営、情報共有などに使われているWebサイトの脆弱性も報奨金の対象とした。
しかし、例えば同じSQLインジェクションの脆弱性が見つかった場合でも、「mozilla.org」や「Bugzilla」といったMozillaのサービスを支える主要サイトの場合、それ以外のサイトに比べてリスクの程度は高いとMozillaは説明する。だが、そうしたリスクの程度に応じた賞金の額について、情報提供者には分かりにくい部分もあったため、Webサイトの脆弱性について、バウンティプログラムの内容を刷新することにしたという。
新しいプログラムでは、対象とするMozillaサイトを「Critical」「Core」「その他」に分類。例えば「firefox.com」「mozilla.com」「bugzilla.mozilla.org」などのサイトはCriticalに分類し、「login.mozilla.com」などのサイトはCoreに分類している。
賞金の額は、例えばリモートコード実行の脆弱性の場合、Criticalサイトでは5000ドル、Coreサイトでは2500ドル、その他のサイトでは500ドルに設定した。
「分かりやすい表を用意することで、バウンティハンターは、賞金が受け取れると分かっている脆弱性に時間と労力を注ぐことが可能になる」とMozillaは説明している。
関連記事
- Google、Androidの脆弱性情報に賞金 Mozillaは増額
「Android Security Rewards 」では、Androidの脆弱性を発見し、修正や対策に協力した研究者に賞金を贈呈。Firefoxの脆弱性発見者に支払われる賞金は5年ぶりに増額された。 - Mozilla、新しいライブラリの脆弱性情報に1万ドルの懸賞
新しい証明書検証ライブラリ「mozilla::pkix」のFirefox安定版への導入を前に、1万ドルの特別懸賞をかけて脆弱性情報の提供を募っている。 - Firefoxの脆弱性報告に賞金授与
Mozilla Foundationは、Firefoxの脆弱性を報告したドイツのミハエル・クラクス氏に総額2500ドルの賞金を贈った。 - Mozillaの脆弱性報告で賞金提供
「Bug Bounty Program」では、Mozilla Foundationで深刻と判断した脆弱性を報告してくれたユーザーに、1件あたり現金500ドルを支払う。 - Mozillaの脆弱性報告プログラムに第一回受賞者
Firefox 1.0やMozilla、Thunderbirdの新バージョンで修正された脆弱性は、Mozilla Foundationが開始した脆弱性報告プログラムの成果だ。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.