写真●米Facebookと米Microsoftがスポンサーを務める「Internet Bug Bounty」のサイト
[画像のクリックで拡大表示]
米Facebookと米Microsoftは、脆弱性を発見した研究者に報奨金を支払うプログラム「Internet Bug Bounty」を共同で立ち上げた。両社がスポンサーを務め、セキュリティ専門家から成る独立委員会が同プログラムを管理する。
委員会は、報奨金プログラムの規約策定や報奨金配当の調整のほか、問題が発生した場合の仲裁などを行う。脆弱性発見と脆弱性情報の検証および公開を通じてインターネットのセキュリティ向上を目指す「HackerOne」が一部運営を担当する。
スポンサー企業および個人が出資し、それを基金として報奨金に100%利用する。スポンサー企業がバグデータに関する特別な権利を有することはないとしている。
HackerOneでは、サンドボックス、OpenSSL、PHPといったカテゴリー別に脆弱性報告を受け付けている。申請のあったバグ発見については、各カテゴリーの対策チームが検証し、対応する。報奨金の金額や条件については、各対策チームが委員会の意見を取り入れながら設定する。最終的にバグ情報はすべて公開される。
