脆弱性発見報奨金制度の「本音」対談、外部のバグハンターとどう付き合うか?
脆弱性発見報奨金制度の運営ノウハウや苦労話を本音で語るLINEとサイボウズの対談。第1回はプログラムの準備、第2回は審査や報奨金の決定過程を紹介したが、第3回は外部のバグハンターとのコミュニケーションにおける苦労話を紹介する。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の李明宰氏、LINE セキュリティ室の中村智史氏 記者 報奨金プログラムでバグハンターとやり取りする過程で、どのような点に苦労しましたか。 サイボウズ伊藤氏 まず、マンパワーという点で一番大変だったのは、報奨金プログラム本体ではなく、2014年8月上旬に実施した「バグハンター合宿」(関連記事:サイボウズが実施した「バグハンター合宿」)でした。2日で50件以上の脆弱性報告を評価しました。 通常の脆弱性プログラムでは、評価結
サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める?
脆弱性発見報奨金制度(バグバウンティ)の運営で難しい事の一つに、報告された脆弱性を「審判」としてどのように評価し、報奨額を決めるか、がある。報奨金制度において、審査の実務とはどのようなものなのか。第1回に続き、サイボウズとLINEの担当者が語る。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏 記者 報告された脆弱性の審査では、どのような点に苦労しましたか? 明らかな脆弱性であるものを「脆弱性ではない」と評価すればバグハンターは怒りますし、評価は報酬額に直結するので、透明性がないとバグハンターに不満がたまってしまいます。 サイボウズ伊藤氏 サイボウズでは基本的に、報告を受けた脆弱性の客観的な評価基準として、共通脆弱性評価システム「CVSS(C
先進2社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
M365 Bounty | MSRC
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
「バグを見つけてお金をもらえる?」、各社が始める報奨金施策の狙いとは
関連キーワード Facebook | Google | ソフトウェアテスト | 脆弱性 近年、一部の大手テクノロジー企業がセキュリティの脆弱性をできるだけ早く見つけて修正するために「バグ報奨金プログラム」を導入している。バグ報奨金プログラムを導入する企業をサポートするサードパーティーベンダーの市場も活発化している。だがこのようなプログラムは、社内で対応するよりも、外部に委託するのが賢い選択肢なのだろうか? バグ報奨金プログラムは、セキュリティのバグを見つけて脆弱なシステムの所有者に報告したセキュリティ調査員に、企業から報酬が支払われる。通常、報酬は現金だ。報奨金を提供する目的は、できる限り多くのセキュリティ調査員の目をコードの脆弱性に向けさせることにある。数カ月~数年間気付かないまま放置され、脆弱性として悪用される可能性がある欠陥を修正できることを期待している。 バグの報奨金の金額は企業に
脆弱性報奨金制度を開始しました - Cybozu Inside Out | サイボウズエンジニアのブログ
Cy-SIRT の伊藤です。 サイボウズは 2014 年 6 月 19 日に「脆弱性報奨金制度」を開始いたしました。 脆弱性報奨金制度 - プレスリリース http://group.cybozu.jp/news/14061901.html 今日はサイボウズが脆弱性情報報奨金制度を開始するまでの経緯をご紹介いたします。 脆弱性報奨金制度 脆弱性情報をどう取り扱うか 報奨金制度を設計する 多数の脆弱性情報を取り扱う体制を作る 自社アドバイザリの公開場所を集約する 脆弱性の認定方法を公開する 脆弱性識別番号を全社で活用する 終わりに 脆弱性報奨金制度 サイボウズが脆弱性報奨金制度を実施する目的は、未知の脆弱性情報をいち早く発見し、改修することです。 脆弱性報奨金制度は、海外の多くの企業で開催されています。 Vulnerability Reward Program - Google http://
mixiの脆弱性報告制度について 結末 - Shira's blog
2014-06-08 mixiの脆弱性報告制度について 結末 前回記事を書いたことによりmixiからメールが来たので、結末を書こう思う。 1. 一部追加で報酬を頂けた。 SQLの脆弱性については報酬を頂くことはできなかったが、他人のデータを閲覧・改ざんできる脆弱性については最終的にはmixi側の判断ミスということとなり、報酬を頂くことができた。 なんとか追加で報酬を頂けたものの、こちらのブログの方も書いているが、報酬の額が高額になるとなにかと理由を付けて支払いを渋っているように感じた。 2. mixi本体の問い合わせはCGIの不具合でmixiに届いていなかった。 前回の記事で「ミクシィセキュリティチームにメールをだしても返信がないことから、現在はmixi本体のサイトの問い合わせページ(https://developer.mixi.co.jp/inquiry/security/)から問い合わ
mixi、グーグルも導入 脆弱性報告に対する報奨金制度は浸透するか
ソーシャルネットワーキングサービスを提供するmixiは、2013年9月30日から2014年3月31までの期間で、同社サービスにおいて未知の脆弱性を発見した場合に窓口に報告し、その重要度によって報奨金を支払う「脆弱性報告制度」を運用した。脆弱性情報のハンドリングについては、その開示ポリシーや方法には、すべてを公開する考え方と、一定のルールのもとで、一斉公開を原則とする考え方が存在する。報奨金制度は前者の考え方に近いものだが、この制度を運用するにあたっては、課題も存在している。
mixi脆弱性報告制度:参加者として感じたこと
WEB系の情報セキュリティ関連の学習メモです。メモなので他情報のポインタだけ、とかの卑怯な記事もあります。 ※2020.9 注記:本ブログの解説記事は内容が古くなっております。OWASP ZAPなどのソフトウェアの解説は現行バージョンの仕様から乖離している可能性があります。 mixiの脆弱性報告制度の総括記事を書こうと思い、報告した脆弱性の評価が確定するのを待っていたのだが、最後の一件の評価がなかなか戻って来ないため問い合わせたところ、修正方法を含め時間がかかる、との事だった。 そのため、一件評価が未確定のものが残ってはいるが、評価が出るのを待っていたら遅くなりそうなので、先に今回の脆弱性報告制度に参加した感想を書いてしまおうと思う。 報酬 報告した脆弱性:15件 評価された脆弱性:4件 (評価が確定していないものが1件残っている) いただいた報酬:現時点までの合計 ¥475,000(Am
mixiの脆弱性報告制度について - Shira's blog
mixiが2013年9月31日からはじめた脆弱性報告制度を利用し、いくつかの脆弱性の報告を行ったので、その結果とミクシィセキュリティチームの対応について記載しようと思う。 脆弱性報告制度 https://developer.mixi.co.jp/inquiry/security/ 1. 報告内容と報酬について 対象・脆弱性・報酬を表にまとめてみた。 対象脆弱性報酬 Find Job! XSS 12.5万円 Open Redirect (なし) mixi Open Redirect / OpenID漏えい 6万円 mixi research SQL (ログイン) 50万円 SQL (ログイン(Ciao)) SQL (検索) SQL (検索(Ciao)) SQL (パスワードリマインダ) 他人のデータの閲覧・改ざん (なし) 他人のデータの閲覧 (なし) XSS 12.5万円 XSS XSS
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
