読者です 読者をやめる 読者になる 読者になる

Mozilla Security Blog 日本語版

Mozilla Security Blog を日本語に翻訳(非公式)

【翻訳】Firefox バグバウンティプログラムの制度変更

この記事は、2015 年 6 月 9 日付で Mozilla Security Blog に投稿された Changes to the Firefox Bug Bounty Program(筆者: rforbes )の翻訳です。この翻訳は公式なものではありません。詳しくはこちらをご覧ください。


バグバウンティプログラムは Mozilla のセキュリティにおいて重要な部分を担っています。このプログラムは現在までに約 1600 万ドルを支払っており、プログラムの成功をとても喜ばしく思います。Firefox や他のプロダクトのセキュリティに対して多大な貢献をしている研究者による、素晴らしいコミュニティが Mozilla にはあります。

私たちバグバウンティ委員会は、現在の Firefox バグバウンティプログラムを評価し、制度変更が必要な時期であると判断しました。

私たちはまず最初に、脆弱性に対する報奨金額を見直しました。支払総額は 5 年前より $3000 増えましたが、今こそもう一度上げる時期です。私たちは再び、脆弱性に支払う金額を大きく増額させました。そのうえ、支払金額の決定基準も見直しました。これまで一定の報奨金額だったものから、バグ報告の質やバグの深刻度合い、そして脆弱性に対する攻撃の容易さに基づいた可変額に変更することにしました。

私たちは最後に、脆弱性を報奨金の対象とする基準を見直しました。これまでは私たちが Critical や High と評価した脆弱性には $3000 を支払ってきました。ここでの問題は、興味深いバグであっても最終的に Moderate と評価されてしまう場合です。今後は Moderate と評価した脆弱性についても公式に支払うことになりました。支払額は委員会によって決定されますが、一般には $500 から $2000 の範囲になります。Moderate と評価されたバグすべてが対象とはなりませんが、一部は支払いの対象となります。

これらの変更点はこちらの Web サイトで見ることができます。こちら

うれしいお知らせがもう一つ、それは Firefox Security Bug Bounty Hall of Fame の公式リリースです!少し前からこのページは公開されていましたが、今日まで発表はしていませんでした。もしあなたが脆弱性を発見した研究者であれば、自分の名前を見付けるのにとても良い場所であり、Firefox の堅固なセキュリティに貢献しているすべての人々を見ることもできます。

私たちは Bug Bounty Hall of Fame の Web ページとサービスをたった今作成しています。ご注目ください!

https://www.mozilla.org/en-US/security/bug-bounty/hall-of-fame/

何か質問があれば気軽に security@mozilla.com までメールを送ってください!