ソーシャルメディア大手のFacebookは、Facebookのバグバウンティプログラムを更新し、セキュリティ研究者が共同で報告書を提出し、バグバウンティの支払いをそれぞれが受けとることができるようにしました。
Facebookは、研究者がグループで作業を行い、お互いのスキルを活かしてプラットフォームの複雑な脆弱性を発見できるようにするため、この新機能を導入したとしています
リサーチャー・コラボレーション・ペイアウトのご紹介
リサーチャーは、それぞれ独自のアプローチとスキルセットでハッキングを行います。毎年開催されているBountyConでは、研究者同士が協力し合うことで、個々の研究者では気づかなかったようなセキュリティ上の影響が大きい複雑なバグチェーンを発見することができたチームもあり、その効果を実感しています。研究者間の共同作業を容易にするために、本プログラムでは、1つの応募に対して複数の研究者間で報奨金を分割して支払うことをサポートしています。この機能の詳細と有効にする方法については、こちら(https://www.facebook.com/whitehat/researcher-settings/help)をご覧ください。
この機能は「研究者コラボレーション・ペイアウト」と呼ばれ、「研究者間のコラボレーションを容易にするため、当社のプログラムでは、1回の投稿で複数の研究者間で報奨金を分割して支払うことをサポートしています」と発表しています。
Facebook社は、毎年開催されているBountyConイベントで研究者が協力して大きな成果を上げているのを参考に、バグ報奨金プラットフォームにこの機能を導入することを決めたと述べています。
Facebookは、複数の研究者が単独ではなく協力し「個々の研究者が気づかなかったかもしれない、セキュリティ上の影響度が高い複雑なバグチェーン」を発見したとコメントしており、この機能はFacebookのバグバウンティポータルですでに稼働しています。
この機能は、研究者のアカウント設定にある「コラボレーション設定」から有効にすることができます。
この機能を有効にすると、研究者は1人以上の共同研究者を追加できるようになり、投稿の各共同研究者は自分の研究者設定内で他の共同研究者をそれぞれ許可する必要があるとのことです。
この設定が完了すると、1つのレポート投稿に最大5人の協力者を追加することができます。報告が報奨金の支払いに至った場合、報告者は各協力者に発行する報奨金総額の割合を指定する必要があります。
共同でバグレポートを提出する機能は新しいものではなく、HackerOneやBugcrowdなどのバグバウンティープラットフォームにも同様の機能があります。
またFacebookはバグ報奨プログラムに別の興味深いアップデートを行い、同社のエンジニアが修正に時間を要するバグに対して追加料金を支払うことを発表しました。
Comments