GoogleがOSSの脆弱性発見に最大3万ドルの報奨金、対象プロジェクトは?:GoogleのOSSプロジェクトが対象
GoogleはOSSの脆弱性を発見、報告した人に報奨金を提供する「Open Source Software Vulnerability Rewards Program」を開始した。同社のOSSプロジェクトが対象となる。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
Googleは2022年8月30日(米国時間)、同社のオープンソースソフトウェア(OSS)プロジェクトの脆弱(ぜいじゃく)性を発見、報告した人に報奨金を提供する「Open Source Software Vulnerability Rewards Program」(OSS VRP:オープンソースソフトウェア脆弱性報奨金プログラム)を開始した。
Googleはプログラミング言語の「Golang」(Go)、JavaScriptフレームワークの「Angular」、OSの「Fuchsia」といった主要プロジェクトのメンテナーであり、「OSSの世界最大級のコントリビューターかつユーザー」を自認している。「セキュリティ研究者は、OSSのエコシステム全体に影響を与える可能性のあるバグを発見することで、OSS VRPにより報奨を受けることができるようになった」と、Googleは述べている。
GoogleはOSS VRP以前から、10年以上にわたってセキュリティ研究者やバグハンターの支援に尽力してきた。最初の報奨金プログラムはGoogleのコードの安全性向上に貢献した研究者に報酬を支払い、感謝を伝えるために設けられた。この種のプログラムでは世界初となるものの一つであり、12周年を迎えようとしている。これ以降、Googleは「Google Chrome」や「Android」など、さまざまな分野向けに報奨金プログラムを順次増やしてきた。これら全体で、1万3000件以上の応募に対して総額3800万ドル以上の報奨金を提供している。
Googleは2021年8月に、サイバーセキュリティ向上のために5年間で100億ドル以上を投資する計画を打ち出しており、OSS VRPはその一環だ。
OSS VRPを追加した理由は、サプライチェーンの侵害が増加の一途をたどっている状況に対処するためだ。Googleは、Sonatypeが公開したレポート「2021 State of the Software Supply Chain Report」のデータを引用し、「2021年には、OSSのサプライヤーを標的とした攻撃が2020年比で650%増加した。テストによるコード網羅率を計測するツール『Codecov』やJavaベースのロギングユーティリティー『Apache Log4j』の脆弱性を突いた攻撃などのインシデントがメディアをにぎわせ、OSSプロジェクトの1件の脆弱性が、破壊的な影響を及ぼす可能性が浮き彫りになった」との認識を示している。
GoogleはOSS VRPの対象となるプロジェクトと脆弱性について、次のように説明している。
対象となるプロジェクトは?
OSS VRPを通じて、Googleが開発を支援するOSSSに大きな影響を与えるか、あるいは与える可能性がある脆弱性の報告を募っている。プログラムの対象は次の通りだ。
まずGoogleが所有するGitHub組織(Google、Google APIs、Google Cloud Platformなど)の公開リポジトリに保存されているOSSの全ての最新バージョン(リポジトリ設定を含む)が対象となる。
次にそれらのプロジェクトと依存関係があるサードパーティーのOSSが対象となる。ただしGoogleのOSS VRPに提出する前に、影響を受ける依存関係プロジェクトに事前に通知する必要がある。具体的にはサードパーティーのOSSの脆弱性が、GoogleのOSSプロジェクトで悪用できるなどを示す必要がある。
最も機密性の高いプロジェクトにおける脆弱性の発見に対しては、高額な報奨金が支払われる。ソースコード管理の「Bazel」やAngular、Go、さまざまな構造化データを言語に非依存な形で定義し、利用するための「Protocol Buffers」、Fuchsiaが対象だ。このリストは今後、拡大される予定となっている。
対象となる脆弱性は?
サプライチェーンに大きな影響を与える脆弱性の発見に焦点を当てるため、Googleは次のような報告を歓迎している。
・サプライチェーンの侵害につながる脆弱性
・製品の脆弱性の原因となる設計上の問題
・機密の認証情報や漏えいした認証情報、脆弱なパスワード、安全ではないインストールなど、他のセキュリティ問題
脆弱性の深刻度やプロジェクトの重要性に応じて、101〜3万1337ドルの報奨金が支払われる。また、珍しい脆弱性や、特に興味深い脆弱性の発見に対しては、高額な報奨金が支払われる。
Googleはセキュリティ研究者やバグハンターに対して、OSS VRPへの参加方法などの詳細については、OSS VRPのルールを確認してほしいと呼び掛けている。
関連記事
多数のWebサイトにJavaScriptプロトタイプ汚染の脆弱性あり、セキュリティ研究者が発見
サイバーセキュリティツールベンダーのPortSwiggerは、セキュリティ研究者「s1r1us」氏のブログで発表された調査報告を紹介した。広く使われている18のJavaScriptライブラリに、プロトタイプ汚染の脆弱性があることが明らかになったという。
深夜のXSS講座も? サイボウズのバグハンター合宿がやたら楽しそうな件
ソフトウェアに含まれるバグや脆弱性を見つける者たちが1カ所に集まり、集中的に脆弱性を見つけ出す「バグハンター合宿」をサイボウズが開催した。なぜ、わざわざ脆弱性報奨金制度を展開し、合宿まで実施するのだろうか。
先駆者に聞く、「バグ報奨金制度」のメリットと課題
日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」(バグバウンティプログラム)。果たしてどれだけの効果があるのか。また課題は? 実際に制度を運営する3社に聞いた。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.
注目のテーマ
ITmediaはアイティメディア株式会社の登録商標です。