グーグル、バグ報奨金プログラムを新設--オープンソースソフトウェアを対象

Stephanie Condon (ZDNET.com) 翻訳校正: 編集部

2022-08-31 13:25

 Googleは米国時間8月30日、オープンソースソフトウェアに対象を絞ったバグ報奨金プログラム「Open Source Software Vulnerability Rewards Program」(OSS VRP)を新たに立ち上げたと同社ブログで発表した。報奨金は、発見された脆弱性の深刻度に応じて約100ドル(約1万4000円)から3万1000ドル(約430万円)が支払われる。

アラートを示すイメージ画像
提供:Shutterstock

 この新プログラムは、ソフトウェアコミュニティーが直面している大きな問題、すなわち急増しているサプライチェーンのセキュリティ侵害に取り組むものだ。Googleは、ソフトウェア企業Sonatypeのレポートを引用し、オープンソースのサプライチェーンを標的とする攻撃が2021年に前年同期比650%増になったと記している。2021年12月に発見された「Apache Log4j」の深刻な脆弱性のように、たった1つの脆弱性であっても甚大な被害がもたらされかねない。

 同プログラムはバグハンターらに対し、GitHub上でGoogleが所有しているプロジェクト(GoogleGoogleAPIsGoogleCloudPlatformなど)のパブリックリポジトリー内に保管されているオープンソースソフトウェア(リポジトリー設定を含む)の最新バージョンに潜む問題を探し出すよう促している。また同プログラムは、これらのプロジェクトのサードパーティーに対する依存性も対象とするという。

 高額の報奨金は、Googleがメンテナーとなっている「Bazel」や「Angular」「Golang」「Protocol Buffers」「Fuchsia」といった、重要性の極めて高いプロジェクトの脆弱性を発見した人に与えられる。また同社は、製品の脆弱性につながる設計上の欠陥や、認証情報の流出のようなセキュリティ上の懸念を含む、サプライチェーンに大きな影響を与える可能性がある問題を見つけ出すよう、バグハンターらに奨励している。

 報奨金は、脆弱性の深刻度とプロジェクトの重要性に従って、101ドル(約1万4000円)〜3万1337ドル(約434万円)となっている。Googleは同ブログに「めったに見かけないほど巧妙、あるいは深刻な脆弱性に対しても、より多くの報奨金が支払われる」と記している。

 OSS VRPの報奨金は、Googleが米国のサイバーセキュリティ分野に対して支払う100億ドル(約1兆3800億円)の中から賄われる。Googleによるこの資金供与の約束は、2021年のホワイトハウスでの会談でJoe Biden大統領が、オープンソースソフトウェアの潜在的脆弱性は国家安全保障上の懸念であると強調したことを受けたものだ。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]