Google、オープンソースソフトウェアの脆弱性修正にも報奨金を提供
2013年10月13日 16:06
あるAnonymous Cowardのタレこみより。Googleは脆弱性情報に対する報奨金制度を主要なオープンソースソフトウェアにも拡大することを発表した(Google Online Security Blogの記事、ITmediaエンタープライズの記事、Ars Technicaの記事、本家/.)。
ただし、報奨金プログラムによりバグ報告が殺到し、コミュニティーが処理しきれなくなる可能性があり、脆弱性は発見よりも修正に手間のかかることも多い。そのため、オープンソースソフトウェアに関しては、脆弱性報告だけでは報奨金は支払われない。報奨金を獲得するには、まずパッチをプロジェクトのメンテナーに送る。パッチが承認され、リポジトリーに追加後にGoogleに詳細を知らせると審査が行われ、内容によって500~3,133.7ドルの報奨金が支払われることになる。当初はOpenSSHのようなネットワークサービスの中心となるソフトウェアや、libjpegやOpenSSL、zlibなどの重要なライブラリー、Google Chromeのオープンソース基盤となるChromiumやBlink、セキュリティー上重要なLinuxカーネルのコンポーネントなどに限定される。今後はApacheやSendmail、OpenVPNなどにも拡大していく予定とのことだ。 スラッシュドットのコメントを読む | ITセクション | オープンソース | Google | セキュリティ | バグ | お金
関連ストーリー:
MS、IE11の脆弱性発見者に対し総額2万8,000ドルの賞金を出す 2013年10月10日
脆弱性報告者にギフトクーポンを送っていた米Yahoo!、苦情を受けて報奨金プログラムを改定 2013年10月06日
mixiが「賞金付き」の脆弱性報告制度を開始 2013年10月01日
「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い 2013年07月12日
Microsoft、バグ発見報奨金プログラム導入 2013年06月24日
WebKitの縦書きバグを修正して報奨金をもらおう? 2013年01月13日
Chromeに重大なゼロデイ脆弱性?発見者はGoogleに内容を伝えず 2012年11月23日
Google、ハッキングコンペを開催。Chromeなどの脆弱性情報に賞金 2012年03月01日
Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 2010年09月16日
Google Chrome のバグ発見者に賞金 1337 ドルを進呈 2010年03月24日
MS製品のバグ発見者に1万ドルの賞金 2006年02月17日