米Googleは10月9日(米国時間)、脆弱性の排除を目的とした報奨金プログラムを外部のOSS(Open Source Software)にまで広げることを発表した。未知の重大なバグに対してパッチプログラムを提供し、プロダクトにマージされたエンジニアを対象に、最大3133.7ドルを支払うという。
|
|
OSS向け報奨金プログラムの告知ページ |
同社は2010年より、GoogleやYoutubeなどの同社サービスに対するバグ発見者に対して500ドル~3133.7ドルを支払う報奨金プログラムを展開しているが、「以前よりOSSから多大な恩恵を受けている」ことから、その報奨金プログラムを各種のOSSに対しても新たに適用するという。
ただし、今回始めるOSS向けの報奨金プログラムは、脆弱性の発見だけでなく、セキュリティパッチを提供するまでが評価の対象となる。従来のGoogleのサービスに対する報奨金プログラムは、脆弱性の"発見"に対して支払われていたが、「OSSプロダクトにおいては、脆弱性の発見よりも修正のほうに多大な労力を要するケースが多く、小さなコミュニティでは対応しきれなくなる懸念がある」とのことから、パッチの提供までを対象にすると説明されている。
現在の対象OSSは、以下のとおり。
- ネットワーク : OpenSSH, BIND, ISC DHCP
- 画像パーサ : libjpeg, libjpeg-turbo, libpng, giflib
- Google ChromeのOSS部分 : Chromium, Blink
- その他の重要ライブラリ : OpenSSL, zlib
- KVMを含むLinuxカーネルの主要コンポーネント
さらに今後、以下のプロダクトにまで拡大していく予定という。
- Webサーバ : Apache httpd, lighttpd, nginx
- SMTPサーバ : Sendmail, Postfix, Exim
- ツールチェーン : GCC, binutils, and llvm
- VPN : OpenVPN
報奨金プログラムに申込むには、セキュリティパッチを各OSSコミュニティに送り、それが取り込まれたことを確認した後、関連資料や成果物を「security-patches@google.com」へ送ればよい。Google側で有効性と重要性が確認されれば、内容に応じて、500ドル~3133.7ドルが支払われる。なお、詳細は、同プログラムのWebサイトに記載されている。
サイバーセキュリティ最前線 第12回 TP-Link製ルーターを米国が禁止の可能性、シャープ製ルーター(ドコモ、KDDI、ソフトバンク)に脆弱性
