サイボウズは6月16日、同日より「脆弱性報奨金制度」のルールを一部改定したと発表した。

寄付制度運用時のイメージ

改定により「サイボウズLive」と「cybozu.com 運用基盤」の2つも脆弱性報奨金制度の対象となった。また、報奨金を獲得する報告者は、報奨金を受け取る際、「報奨金の獲得」か「報奨金寄付制度」のどちらかを選べるようになった。

サイボウズの脆弱性報奨金制度は、同社が提供するサービスに存在するゼロデイ脆弱性を早期に発見し改修することを目的とする制度で、同社のパッケージ製品・クラウドサービスの脆弱性を発見し報告した人に報奨金を支払うもの。

今回、新たに導入された報奨金寄付制度は、報奨金受け取りを辞退する代わりに、同社が指定するOSSコミュニティに寄付できるもの。寄付は報告者の名義で行い、報告者が獲得した報奨金と同額をサイボウズが上乗せして代行で寄付を行う。

脆弱性報奨金制度は、2014年6月から実施しているが、報告者より「報奨金を受け取る代わりに、寄付ができないか」という問い合わせが複数あったことから、今回報奨金活用の新たな選択肢を提供し、報告者のモチベーション向上に寄与する考えだという。

寄付先は、同社が製品開発に利用している「Apache Software Foundation OSS」「Linux Foundation 」「日本にあるOWASP Local Chapter(OWASP Japan/OWASP Kansai/OWASP Kyushu等)」のコミュニティから選択。寄付金はOSSコミュニティの運営費として活用される。