脆弱性発見報奨金制度の「本音」対談、外部のバグハンターとどう付き合うか?
脆弱性発見報奨金制度の運営ノウハウや苦労話を本音で語るLINEとサイボウズの対談。第1回はプログラムの準備、第2回は審査や報奨金の決定過程を紹介したが、第3回は外部のバグハンターとのコミュニケーションにおける苦労話を紹介する。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の李明宰氏、LINE セキュリティ室の中村智史氏 記者 報奨金プログラムでバグハンターとやり取りする過程で、どのような点に苦労しましたか。 サイボウズ伊藤氏 まず、マンパワーという点で一番大変だったのは、報奨金プログラム本体ではなく、2014年8月上旬に実施した「バグハンター合宿」(関連記事:サイボウズが実施した「バグハンター合宿」)でした。2日で50件以上の脆弱性報告を評価しました。 通常の脆弱性プログラムでは、評価結
サイボウズとLINEが語る報奨金制度、脆弱性報告への報酬金額はどうやって決める?
脆弱性発見報奨金制度(バグバウンティ)の運営で難しい事の一つに、報告された脆弱性を「審判」としてどのように評価し、報奨額を決めるか、がある。報奨金制度において、審査の実務とはどのようなものなのか。第1回に続き、サイボウズとLINEの担当者が語る。 写真●左から、サイボウズ グローバル開発本部 品質保証部の伊藤彰嗣氏、サイボウズ グローバル開発本部 副本部長の佐藤鉄平氏、LINE セキュリティ室の中村智史氏、LINE セキュリティ室の李明宰氏 記者 報告された脆弱性の審査では、どのような点に苦労しましたか? 明らかな脆弱性であるものを「脆弱性ではない」と評価すればバグハンターは怒りますし、評価は報酬額に直結するので、透明性がないとバグハンターに不満がたまってしまいます。 サイボウズ伊藤氏 サイボウズでは基本的に、報告を受けた脆弱性の客観的な評価基準として、共通脆弱性評価システム「CVSS(C
先進2社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
バグを発見した人に、最高2万ドルの報酬金を出します―。 メッセンジャーアプリ開発のLINEは、2015年8月から9月にかけ、LINEアプリの脆弱性を報告したユーザーに報奨金を支払う「LINE Bug Bounty Program」を実施した。計200件の報告が集まり、LINEはこのうち7人が報告した14件の脆弱性を認定、1人については最高額の2万ドル(240万円)を支払った。 自社のソフトウエアやWebサービスの脆弱性を発見した外部の技術者(バグハンター)に報奨金を出すプログラムは、一般に「脆弱性発見報奨金制度(バグバウンティ)」と呼ばれる。 米国では、マイクロソフトやグーグルのようなIT企業に加え、ペイパルのようなITサービス企業、さらには航空会社の米ユナイテッド・エアラインズのような一般企業も導入している(関連記事:OSベンダーだけじゃない、一般企業や政府も始めた「バグ発見報奨金制度」
サイボウズ流・脆弱性情報との付き合い方
サイボウズは2014年2月26日から、常設型の「脆弱性検証環境提供プログラム」を開始した。その背景には、脆弱性情報の取り扱いに関する同社の経験と問題意識があった。 サイボウズは2014年2月26日から、常設型の「脆弱性検証環境提供プログラム」を開始した。同社のクラウドサービス「cybozu.com」と同等の環境を無償で提供し、そこで稼働しているサービスの脆弱性を検証、発見してもらうことが目的だ。セキュリティ研究者の他、同社サービスの導入を検討し、事前監査を行いたいと考えている大手企業向けにも提供する。 同社は2013年11月に、サービスの品質向上を目的とした脆弱性発見コンテスト「cybozu.com Security Challenge」を実施している。脆弱性検証環境提供プログラムはその経験を踏まえ、対象範囲を「kintone」から、「Office」「Garoon」「メールワイズ」や共通管
cybozu.com を真に常時 SSL にする話 - Cybozu Inside Out | サイボウズエンジニアのブログ
@ymmt2005 こと山本泰宇です。 今回は cybozu.com を安全に利用するために暗号化した通信(SSL)を常時使用するための取り組みを紹介します。 HTTP と HTTPS HSTS とその弱点 Preloaded HSTS Chrome のリストに cybozu.com を組み込む まとめ HTTP と HTTPS Web ブラウザのアドレスバーに "www.cybozu.com" と打ち込むと、通常は暗号化されない HTTP 通信が行われます。そこでまず考えられるのは、Web サーバーにて HTTP 通信を受け付けたら、HTTPS に永続的リダイレクトをすることです。Apache なら以下のような設定になるでしょう。 <VirtualHost *:80> ServerName www.cybozu.com Redirect permanent / https://www.c
賞金付き脆弱性発見コンテスト「cybozu.com Security Challenge」 - SECCON 2013
【追記】2013.10.15 申し込み期限に達したため募集を締め切りました。たくさんのご応募ありがとうございました。 ■応募要項 ・氏名(非公開) ・メールアドレス(非公開) ・本コンテスト期間中に利用するニックネーム 以上を記載の上、下記メールアドレスにお送り下さい security-challenge-2013{at}seccon.jp ■参加条件 - 個人にて参加いただける方 企業、団体にて営利目的で大会に参加することはおやめください。 ただし、企業や団体に所属する個人が、大会に参加することを妨げるものではありません。 - サイボウズ株式会社社員および、関連会社社員ではないこと - 日本語でコミュニケーションできること - 検証環境にアクセスするための機材を用意できること。利用する機材に制限はありません。 - 後日送付する参加規約にご同意いただけること 脆弱性報告の対象となるサービス
サイボウズLive データ API ドキュメント — サイボウズ Live・API ドキュメント v0 documentation
サイボウズLive データ API ドキュメント¶ この文書ではサイボウズLiveのデータAPIについて説明します。 データAPIを使うことでサイボウズLiveのデータを利用するアプリケーションを開発できます。 現在提供しているデータは次の通りです。 新着情報 - サイボウズLive で更新があった情報です。 グループ情報 - ユーザーが所属しているグループの情報です。 スケジュール - ユーザーの予定およびグループのイベントです。 ToDoリスト - ユーザーに割り当てられたToDoです。 掲示板 - グループの掲示板の情報です。 コメント - エントリに対するコメントです。 お気に入り - アイテムをお気に入り登録/解除する機能です。 アイコン画像 - グループアイコンやプロフィール画像です。 APIを利用するためにはデベロッパーアカウントでアプリケーションを登録する必要があります。
Cybozu Inside Out | サイボウズエンジニアのブログ
2024-07-13 QA Gathering Day 2024年7月 の開催レポート 〜社内のQAエンジニアの横のつながりを強化するために〜 QA 社内イベント 文化 こんにちは!2024年新卒入社したQAエンジニアの水谷です!先日サイボウズ東京オフィスで開催された「QA Gathering Day 2024年7月」の開催レポートを公開します。 「QA Gathering Day」は、サイボウズのQAエンジニア系の職能のメンバーが集まる社内イベントで… 2024-07-10 プロダクトを良くしたい人 アジャイル スクラム モバイル こんにちは。 kintoneのAndroidチームに所属している向井田 (@mr_mkeeda) です。 私は元々Androidエンジニアですが、最近まで自チームの抱えている問題意識と向き合うためにスクラムマスターを兼務していました。 今回のブログは、サイボウ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
