ESETは2019年1月7日(米国時間)、「EU offers bug bounties on popular open source software」において、欧州連合(EU)が人気のあるオープンソース・ソフトウェア(OSS)を対象とした大規模なバグ報奨金プログラムを開始すると伝えた。
2014年に世界中で発生したOSSであるOpenSSLに発見された脆弱性「Heartbleed」を狙った攻撃がこの取り組みの発端になったという。この取り組みでは、すでに社会基盤として重要な地位を占めるようになったOSSの脆弱性を減らし、社会基盤の安定性を向上させることを狙っていると見られる。
本稿執筆時点で公開されている対象プロジェクトと報奨金額、対象期間、プラットフォームなどは次のとおり。
| ソフトウェアプロジェクト | 報奨金€ | 開始日 | 終了日 | プラットフォーム |
|---|---|---|---|---|
| Filezilla | 58,000 | 2019年01月07日 | 2019年08月15日 | HackerOne |
| Apache Kafka | 58,000 | 2019年01月07日 | 2019年08月15日 | HackerOne |
| Notepad++ | 71,000 | 2019年01月07日 | 2019年08月15日 | HackerOne |
| PuTTY | 90,000 | 2019年01月07日 | 2019年12月15日 | HackerOne |
| VLC Media Player | 58,000 | 2019年01月07日 | 2019年08月15日 | HackerOne |
| FLUX TL | 34,000 | 2019年01月15日 | 2019年10月15日 | Intigriti/Deloitte |
| KeePass | 71,000 | 2019年01月15日 | 2019年07月08日 | Intigriti/Deloitte |
| 7-zip | 58,000 | 2019年01月07日 | 2020年04月15日 | Intigriti/Deloitte |
| Digital Signature Services (DSS) | 25,000 | 2019年01月07日 | 2019年10月15日 | Intigriti/Deloitte |
| Drupal | 89,000 | 2019年01月07日 | 2020年10月15日 | Intigriti/Deloitte |
| GNU C Library (glibc) | 45,000 | 2019年01月07日 | 2019年12月15日 | Intigriti/Deloitte |
| PHP Symfony | 39,000 | 2019年01月07日 | 2019年10月15日 | Intigriti/Deloitte |
| Apache Tomcat | 39,000 | 2019年01月07日 | 2019年10月15日 | Intigriti/Deloitte |
| WSO2 | 58,000 | 2019年01月07日 | 2020年04月15日 | Intigriti/Deloitte |
| midPoint | 58,000 | 2019年03月01日 | 2019年08月15日 | HackerOne |
-
Julia Reda|In January, the EU starts running Bug Bounties on Free and Open Source Software
報奨金は発見した脆弱性やバグの深刻度、対象ソフトウェアの重要性などから決定されると説明がある。詳細は今後、EUから公開される見通し。招待制のバグ報奨金プログラムと異なり、多くの人に門戸が開かれており、さまざまな開発者や研究者がプログラムに参加することが予想される。
バグ報奨金プログラムがOSSのバグや脆弱性を発見するのに効果を発揮することはこれまでの取り組みですでに示されている。バグ報奨金プログラムで提示される報奨金は国や地域によっては高額な報奨金に分類されるため、世界中の開発者や研究者が積極的に取り組むといった理由があると考えられている。
