米Facebookと米Microsoftは11月7日、インターネットスタックのバグ発見プログラム「The Internet Bug Bounty」を発表した。「セキュリティ研究者に安全かつ報酬のある環境を養うことは自分たちの義務」と述べており、規定に基づきバグ1件につき300~5000ドルの報酬を支払う。
Facebook、Microsoftともに自社プログラムに対してバグ発見プログラムを提供しているが、Internet Bug Bountyは、インターネットを支えるソフトウェアスタックの安全性を集合的に強化するプログラム。Apache httpd、Nginx、OpenSSL、PHP、Perl、Python、Ruby、Ruby on Railsなどオープンソースソフトウェアが多数リストされている。例えば、Pythonの最小報酬額は1500ドル、Apache httpdは500ドルなどとなっている。
|
スポンサーは2社が務めるが、2社のほか米Google、iSEC Partnersなどのセキュリティ専門家で構成する独立したパネルがプログラムを管理し、ルール作り、報酬金の割り当て、問題が発生した際の仲介や調停などを行う。
利用にはまず、同プログラムを展開するHackerOneに登録する必要がある。
