Appleは脆弱性報告プログラム「Appleセキュリティバウンティ」の改善を進めているものの、さらなる改善を望む研究者は少なくない。研究者が注視するのが「報奨金の金額」だ。
セキュリティ研究者ホセ・ロドリゲス氏は、Appleのバグ報奨金・脆弱(ぜいじゃく)性報告プログラム「Apple Security Bounty」(ASB:Appleセキュリティバウンティ)に関して、ある問題を指摘する。それは「報奨金が低い」という問題だ。
Appleが宣伝している報奨金の額は、ベンダーによる他のバグ報奨金プログラムの中でも特に低いわけではない。それでもロドリゲス氏は、脆弱性の発見と報告に対する報奨金を「Appleは低く見積もっている」と述べる。
ロドリゲス氏によると、ASBの報奨金はAppleのWebサイトに例示されている金額のごく一部にまで引き下げられることがある。AppleはASBの報奨金を最低10万ドル、最高25万ドルと宣伝している。だが同氏が受け取ることになっている金額は、その最低額の10分の1である2万5000ドルだ。
別の匿名セキュリティ研究者も、Appleが公表している報奨金リストを「詳細さに欠ける」と形容する。一方でこの研究者は「予想を若干上回る報奨金」を受け取ったことがあり、「報告の質や脆弱性の影響によって報奨金が変わることがある」と話す。
この研究者は、エクスプロイトチェーン(脆弱性の連鎖的な悪用)をAppleに報告した際の同社の応対にも言及する。同社はこのエクスプロイトチェーンを1つの大きな問題と見なして報奨金を上乗せするのではなく、個々の脆弱性に対して報奨金を支払ったという。
米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。
Copyright © ITmedia, Inc. All Rights Reserved.
いまさら聞けない「仮想デスクトップ」と「VDI」の違いとは
遠隔のクライアント端末から、サーバにあるデスクトップ環境を利用できる仕組みである仮想デスクトップ(仮想PC画面)は便利だが、仕組みが複雑だ。仮想デスクトップの仕組みを基礎から確認しよう。
「マーケティングオートメーション」 国内売れ筋TOP10(2025年5月)
今週は、マーケティングオートメーション(MA)ツールの売れ筋TOP10を紹介します。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年4月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年4月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
ITmediaはアイティメディア株式会社の登録商標です。
