Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。
セキュリティ研究者ホセ・ロドリゲス氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に関して、ある問題を指摘する。それは「報奨金が低い」という問題だ。
Appleが宣伝している報奨金の額は、ベンダーによる他のバグ報奨金プログラムの中でも特に低いわけではない。それでもロドリゲス氏は、脆弱性の発見と報告に対する報奨金を「Appleは低く見積もっている」と述べる。
ロドリゲス氏によると、ASBの報奨金はAppleのWebサイトに例示されている金額のごく一部にまで引き下げられることがある。AppleはASBの報奨金を最低10万ドル、最高25万ドルと宣伝している。だが同氏が受け取ることになっている金額は、その最低額の10分の1である2万5000ドルだ。
別の匿名セキュリティ研究者も、Appleが公表している報奨金リストを「詳細さに欠ける」と形容する。一方でこの研究者は「予想を若干上回る報奨金」を受け取ったことがあり、「報告の質や脆弱性の影響によって報奨金が変わることがある」と話す。
この研究者は、エクスプロイトチェーン(脆弱性の連鎖的な悪用)をAppleに報告した際の同社の応対にも言及する。同社はこのエクスプロイトチェーンを1つの大きな問題と見なして報奨金を上乗せするのではなく、個々の脆弱性に対して報奨金を支払ったという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
2025年のマーケターが「生成AIでテレビCMを作る」よりも優先すべきことは?
AIが生成した広告に対する反発が続いた1年を経て、マーケターはパフォーマンス重視で非難...
CMOはなぜ短命? なぜ軽視される? いま向き合うべき3つの厳しい現実
プロダクト分析ツールを提供するAmplitudeのCMOが、2025年のマーケティングリーダーに課...
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
ITmediaはアイティメディア株式会社の登録商標です。
