Open_Bug_Bounty
Open Bug Bounty は非営利のバグ報奨金プラットフォームです。責任ある開示プラットフォームにより、独立したセキュリティ研究者は、非侵入型セキュリティ テスト技術を使用して、発見した Web サイトのXSSおよび同様のセキュリティ脆弱性を報告できます。研究者は、脆弱性の提出から 90 日後に脆弱性の詳細を公開するか、ウェブサイトの運営者のみに通知するかを選択できます。プログラムは、影響を受けた Web サイトの運営者が、レポートを作成した研究者に報酬を与えることを期待しています。
プログラム
商用のバグ報奨金プログラムとは異なり、Open Bug Bounty は非営利プロジェクトであり、研究者または Web サイト運営者による支払いを必要としません。報奨金は、研究者とウェブサイト運営者の間の合意の問題です。Heise.de は、この Web サイトが、報奨金が支払われない場合に脆弱性を開示すると脅迫し、Web サイトの運営者を脅迫する媒体になる可能性があることを確認しましたが、Open Bug Bounty はこれを禁止していると報告しました。
Open Bug Bounty は 2014 年に民間のセキュリティ愛好家によって開始され、2017 年 2 月の時点で 100,000 件の脆弱性が記録され、そのうち 35,000 件が修正されました。クロスサイト スクリプティングの脆弱性のアーカイブである Web サイト XSSPosed から派生しました。
2018 年 2 月、このプラットフォームには、ISO 29147 ガイドラインに基づく協調開示プログラムを使用して、100,000 件の脆弱性が修正されました。
2019 年末までに、このプラットフォームは、ISO 29147 ガイドラインに基づく協調開示プログラムを使用して、272,020 件の修正された脆弱性を報告しました。
参考文献
^ “Open Bug Bounty: 100,000 件の修正された脆弱性と ISO 29147” . テクワーム。2018 年2 月 19 日閲覧。
^ 「Open Bug Bounty: Sicherheitslücken gegen Prämie」 . Heise Security (ドイツ語)。2017 年 1 月 12 日。2018年1月4日閲覧。
^ 「Open Bug Bounty – セキュリティ研究者向けの代替クラウド セキュリティ プラットフォーム」 . テックワーム。2017 年 2 月 14 日。2017年12月21日閲覧。
^ 「XSSPosed は、Web の欠陥に対する Open Bug Bounty プログラムを開始します」 . SCメディア英国。2015 年 7 月 6 日。2017年12月21日閲覧。
^ 「非営利の Open Bug Bounty が 10 万件の修正済み脆弱性を発表」 . SCメディア。2018 年2 月 23 日閲覧。
^ 「2019 年の Open Bug Bounty の記録的な成長の簡単なまとめ」 . openbugbounty.org。2020 年 1 月 16 日。2019年7月27日閲覧。
外部リンク
公式ウェブサイト