Googleは、Chromiumのバグ報奨金プログラムに基づいて、有効な脆弱性報告レポートを提出したセキュリティ研究者に支払う賞金額を引き上げました。
7月18日、ChromeセキュリティチームのNatasha Pabrai氏とAndrew Whalley氏は、Chromium脆弱性報奨金プログラムに従って、セキュリティ研究者が提出するベースラインレポート(基本的なレポート)に対して15,000ドルの報奨金を贈呈すると発表しました。この金額は、2010年にGoogleがDisclosure Framework(開示フレームワーク)で初めて公表した額の3倍です。さらに、質の高いレポートを提供したバグハンターは、最大30,000ドルの報奨金を期待できます。この金額はプログラム開始当初の報奨金の最大額の2倍です。
できるだけ高い金額を目指す研究者たちのために、Chromeセキュリティチームは、高品質のレポートとはどのようなものかを公表しています。また、脆弱性の各種カテゴリーを更新して、研究者たちが関心を持つ脆弱性のタイプを探しやすくしました。
数ある脆弱性のなかでも、Chromeセキュリティチームが最も注目している種類のバグがあります。それは、ChromebookまたはChromeboxに対するゲストモードでの持続的攻撃で使用される可能性のあるエクスプロイトに関するものです。このタイプの脆弱性を報告したセキュリティ研究者には、$150,000もの報奨金を受け取るチャンスがあります。
Chromium脆弱性報奨金プログラムの賞金金額(資料提供:Google)
Pabrai氏とWhalley氏は、Chromeセキュリティチームが報奨金プログラムを変更したのは、セキュリティコミュニティとの関係をさらに深めることが目的であり、このプラグラムでは、10年弱の間に、8,500件にもおよぶバグレポートを受け取り、総額500万ドルを支払っていると説明しました。同社はブログ記事で次のように説明しています。
Chromiumオープンソースプロジェクトに参加する世界中の熱心なコミュニティに支えられ、Chromeは常にセキュリティを中心に構築されてきました。世界クラスのセキュリティ研究者も参加しているこのコミュニティが、Chromeやその他のChromiumベースのブラウザーを守るべく支援してくださっていることを私たちは誇りに思っています。
報奨金の増額は、セキュリティのコミュニティと協力して、ソフトウェアの脆弱性に対する防衛力を強化する企業の重要性を示すものです。(他の多くの企業も長年にわたって独自の脆弱性調査プログラムを運営しているのも不思議はありません。)また、企業が脆弱性管理機能全般に投資することが重要であると彼らは訴えています。そのために、Tripwire製品がどのように役立つかについてご一読ください。
トリップワイヤ・ジャパンでは脆弱性管理、法規制遵守、インシデント対応やサイバーセキュリティに関する有益な情報をお届けしております。すべてのカタログ、セキュリティに関する情報はこちらからダウンロードいただけます。Tripwireセキュリティ リソース
