葉っぱ日記

■[SECURITY] 空前の脆弱性ハンティングブーム

追記:このエントリーは以下の記事を極限までに参考にさせて頂きました。いつも著作権フリーでコピー改変OKな記事の提供ありがとうございます！それにしても、ほんとうに実力さえあればパクリだけで食べていける時代なんですね！

自社製品やWebサイトの脆弱性を報告することで報奨金や謝辞が出るのは Google や Mozilla をはじめ海外では様々なものがありましたが、ここにきて日本でもいよいよ脆弱性報告に報奨金を支払う著名サイトが出てきました。

• 脆弱性報告制度 << mixi Developer Center (ミクシィ デベロッパーセンター)
  • 未知のXSSやSQLインジェクションなどの報告者に：ミクシィが「脆弱性報告制度」開始、報奨金も用意 - ＠IT
• サイボウズグループ | ニュース | サイボウズ、国内商用クラウド初の脆弱性発見コンテスト「cybozu.com Security Challenge」を開催 外部のセキュリティ専門家と協調し、サービスの品質向上を目指す
  • 国内の脆弱性研究や届け出のあり方に変化も？：サイボウズ、商用サービスを対象とした脆弱性発見コンテストを開催 - ＠IT

一方で、自社製品に限らず現在のインターネット周辺環境を支えているオープンソースソフトウェアの脆弱性についても、脆弱性の報告に対して報奨金を支払うという動きも活発になりつつあります。

• Patch Rewards – Application Security – Google
  • ニュース - Google、オープンソースソフトの脆弱性パッチに報奨金を支払うプログラム：ITpro
• The Internet Bug Bounty - HackerOne
  • ニュース - FacebookとMicrosoft、脆弱性発見の報奨金プログラムを発足：ITpro

ほんとうに実力さえあればバグハンティングだけで食べていける時代なんですね！

ツイートする