GitHubは6月12日(現地時間)、公式ブログの記事「GitHub’s revamped VIP Bug Bounty Program」において、「バグ報奨金プログラム(Bug Bounty Program)」におけるVIP制度を刷新し、新たに「Hacktocat」の称号制度を開始したことをアナウンスした。「Hacktocat」はGitHubのセキュリティ向上への貢献度が高い研究者に与えられる称号で、認定されるとベータ版製品へのアクセスや限定グッズの購入といった特典を受けられるようになる。

GitHubでは、github.comをはじめとする同社のサービスにおける脆弱性やセキュリティバグの報告に対して報奨金を支払う「バグ報奨金プログラム」を実施している。報奨金の金額は問題の重要度によって異なるが、致命的な問題に対しては2〜3万ドル以上が提示されている。また報奨金に加えて、一部の報告に対しては限定グッズと引き換えられるクーポンコードも提供される。

  • GitHubのバグ報奨金プログラム

    GitHubのバグ報奨金プログラム

GitHubではこれまで、バグ報奨金プログラムへの貢献が高い研究者をVIPとして認定し、特別なリソースにアクセスできる権利を与える制度を内部的に実施していたという。今回同社は、このVIP認定制度を刷新し、新たに「Hacktocat」の称号を付与する認定制度を開始した。Hacktocatに認定された研究者は、一般のユーザが利用できない次のリソースにアクセスする権利が与えられる。

  • 一般公開前のベータ版製品やベータ版機能
  • アクセスできるベータ版機能に関わるGitHub Bug Bountyのスタッフとエンジニア
  • Hacktocatの限定グッズ

Hacktocatへの招待を受け取るためには、少なくとも次の条件を満たす必要がある。

  • GitHubのバグ報奨金プログラムで少なくとも2万ドルを獲得している
  • 過去2年間に少なくとも2件の報告を提出している

GitHubでは、セキュリティ研究者とのパートナーシップの強化を目指して、今後もより多くのインセンティブを導入できるようにバグ報奨金プログラムを改善していく方針だという。