脆弱性発見報奨金制度(バグバウンティ)の運営で難しい事の一つに、報告された脆弱性を「審判」としてどのように評価し、報奨額を決めるか、がある。報奨金制度において、審査の実務とはどのようなものなのか。第1回に続き、サイボウズとLINEの担当者が語る。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏 記者 報告された脆弱性の審査では、どのような点に苦労しましたか? 明らかな脆弱性であるものを「脆弱性ではない」と評価すればバグハンターは怒りますし、評価は報酬額に直結するので、透明性がないとバグハンターに不満がたまってしまいます。 サイボウズ伊藤氏 サイボウズでは基本的に、報告を受けた脆弱性の客観的な評価基準として、共通脆弱性評価システム「CVSS(C
![サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める?](https://cdn-ak-scissors.b.st-hatena.com/image/square/f29ddd0f3839a0d78ee9f669df2971f86c42cf00/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fit%2Fatcl%2Fcolumn%2F16%2F040600081%2F040700002%2Fmiddle2.jpg%3F20220512)