ep35 Security (Bug Bounty) | mozaic.fmTheme 第 35 回のテーマは Security の Bug Bounty 編です。 今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。 報告する側 ハンターは何を見ているか ハンターにとっての報告制度 報告しやすさ CSP と脆弱性 バグハントを始めたい人へ 報告される側 なぜ報奨金制度を行うのか プラットフォームと自前運営 評価の難しさと CVSS 成立するが CSP でブロックされるバグはどう扱うか 報奨金制度を始めたい人へ これらを踏まえ、 Web セキュリティで 今何が起きているのか、 これからどうなっていくのか について議論しました。 Show Note 脆弱性報奨
