米Googleは現地時間2013年10月9日、セキュリティ向上のための新たなプログラム「Patch Rewards」を開始すると発表した。オープンソースソフトウエア(OSS)の脆弱性を低減し、より強固なものにするために、単なるバグ報告ではなく、実際的な予防策となるパッチを募集するとしている。

 同社セキュリティチームのMichal Zalewski氏によると、Googleは当初、同社アプリケーションの脆弱性を発見して報告した人に報奨金を支払うプログラム「Vulnerability Reward Program」と同様のOSS脆弱性情報の報酬制度を設けることを考えたが、「価値のある報告に混じって、不確かな情報も多数寄せられ、ボランティアによる小さいコミュニティの手に負えないほどの作業になる」ことが予想されたため、脆弱性発見の先の段階となる対策を募ることを決めた。

 Patch Rewardsは段階的に展開し、当初は、コアインフラのネットワークサービス(OpenSSH、BIND、ISC DHCPなど)、コアインフラの画像パーサ(libjpeg、libjpeg-turbo、libpng、giflibなど)、「Chrome」ブラウザーのベースとなるオープンソース(Chromium、Blinkなど)、影響力の大きいライブラリー(OpenSSL、zlibなど)、頻繁に使用されるLinuxカーネルのコンポーネント(KVMなど)を対象にする。

 また近いうちに、Webサーバー(Apache httpd、lighttpd、nginxなど)、主要なSMTPサービス(Sendmail, Postfix, Eximなど)、仮想プライベートネットワーク(OpenVPNなど)、ツールチェーン(GCC、binutils、llvmなど)のセキュリティ強化にも対象を広げる予定。

 Patch Rewardsに申請されたパッチが、実証可能かつ重要で事前策として有効と認められた場合、500ドルから3133.7ドルの報奨金が支払われる。

[発表資料へ]