GoogleがOSSの脆弱性発見に最大3万ドルの報奨金、対象プロジェクトは？：GoogleのOSSプロジェクトが対象

GoogleはOSSの脆弱性を発見、報告した人に報奨金を提供する「Open Source Software Vulnerability Rewards Program」を開始した。同社のOSSプロジェクトが対象となる。

» 2022年09月06日 17時55分公開

[＠IT]

この記事は会員限定です。会員登録（無料）すると全てご覧いただけます。

　Googleは2022年8月30日（米国時間）、同社のオープンソースソフトウェア（OSS）プロジェクトの脆弱（ぜいじゃく）性を発見、報告した人に報奨金を提供する「Open Source Software Vulnerability Rewards Program」（OSS VRP：オープンソースソフトウェア脆弱性報奨金プログラム）を開始した。

　Googleはプログラミング言語の「Golang」（Go）、JavaScriptフレームワークの「Angular」、OSの「Fuchsia」といった主要プロジェクトのメンテナーであり、「OSSの世界最大級のコントリビューターかつユーザー」を自認している。「セキュリティ研究者は、OSSのエコシステム全体に影響を与える可能性のあるバグを発見することで、OSS VRPにより報奨を受けることができるようになった」と、Googleは述べている。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}

続きを閲覧するには、ブラウザの JavaScript の設定を有効にする必要があります。

多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。
深夜のXSS講座も？　サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。
先駆者に聞く、「バグ報奨金制度」のメリットと課題
日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」（バグバウンティプログラム）。果たしてどれだけの効果があるのか。また課題は？　実際に制度を運営する3社に聞いた。