The Mozilla Foundation

Mozillaは6月9日(米国時間)、「Changes to the Firefox Bug Bounty Program|Mozilla Security Blog」において、重大なバグを発見したユーザに贈られる報奨金を見直し、報奨金を出す範囲を広げるとともに、その上限値を引き上げると発表した。Mozillaはバグ報奨金の評価を実施し、この取り組みが重要であること、報奨金額を引き上げることが適切であることなどを説明している。

新しいバグ報奨金制度では、次のような分類で報奨金が支払われることになる。

  • 1万ドル以上: 新しい脆弱性や攻撃、新しい種類の攻撃、並外れた脆弱性を発見
  • 7500ドル:明らかに攻撃が可能な重大な脆弱性を、高品質なバグレポートで報告
  • 5000ドル:重大または危険性の高い脆弱性を、高品質なバグレポートで報告
  • 3000ドル:重大または危険性の高い脆弱性を、最小限のバグレポートで報告
  • 500ドル~2500ドル:通常の脆弱性を報告

脆弱性の発見に報奨金をかけることで、研究者らまたは開発者らに脆弱性の発見と報告を促す取り組みは、Firefoxのみならず他の主要なブラウザにおいても重要度を増している。報奨金額を引き上げたことで、今後Firefoxで発見される弱性の数が増加する可能性がある。