2023.12.12(火)
さらにケイティ・ムーサリス氏を称えた。Microsoft 経営陣はバグに関して、リサーチャーに報酬を支払うことは「絶対ない」と言っていたのだが、ムーサリス氏が中心となって、Microsoft にはバグ報奨金プログラムが必要であると Redmond 上層部を説得した。最終的に Microsoft に転機をもたらしたのは、独自ブラウザで Internet Explorer の市場優位性に挑んできた新興企業Google を打倒したいという思いだった。
サイボウズ株式会社は11月20日、「サイボウズ バグハンター合宿 2023」で報告された脆弱性36件が認定されたと発表した。
IssueHunt株式会社は11月2日、期間限定で脆弱性スキャナ相談会を無料開催すると発表した。
賽の河原とシシュフォスの岩は、背景やメッセージが異なるものの、終わらない作業(戦い)という点は一致している。セキュリティ対策も「いたちごっこ」などと言われ続け、我々は日々終わりのない戦いに挑み続けている。
バグバウンティ。業界では知らない人は少ないほど認知されている言葉だが、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。
2018 年、ヴィンセントは伝説級の脆弱性を発見する。G Suiteの組織部門のスーパー管理者権限を奪取できる脆弱性だ。詳細は Google が主催するバグ報奨金プログラムにて報告。ヴィンセントにセキュリティ業界の目が一気に注がれた。
脆弱性ハンドリングはで重要なのはその情報を適切に判断する「トリアージ」だ。単なる窓口業務だけではない難しさがあるのだが… その対策としてブロックチェーンを活用する取り組みがある。
LINE CONOMI株式会社は6月27日、同社が提供する「LINE PLACE」に投稿されたレシート画像が閲覧可能となる脆弱性について発表した。
脆弱性の調査、ペンテスト、あるいは何気なく行うハッキング(非推奨)において、意図せず「見てはいけないデータ」「手元にあってはいけないデータ」に触れてしまうことがある。法的な問題を抱え込むことにならないのだろうか。
株式会社イーシーキューブは9月28日、最新版「EC-CUBE4.2」を同日、リリースしたと発表した。
日本マイクロソフト株式会社は4月14日、影響の大きいシナリオにおけるマイクロソフトのバグ報奨金プログラムの拡大について同社ブログで発表した。同ブログはExpanding High Impact Scenario Awards for Microsoft Bug Bounty Programsの抄訳となっている。
バグバウンティをテーマにして50回も連載ができるのか
Synack Red Team に参加する数少ない日本人リサーチャーの一人、Toto氏に、活動状況や他の脆弱性診断サービス、バグバウンティプログラムと Synack の違いについて話を伺った
Sky株式会社は1月27日、同社サービスのセキュリティ強化を目的としたSky脆弱性報奨金制度(Sky Bug Bounty Program)の開始を発表した。
2021 年の暮れに行われた編集長対談のなかで、同じ「憧れ」という言葉が上野の対談相手の口から、ごく自然に出てきたときは、少なからず記者にとって思うところのある瞬間だった。
LINE株式会社は11月11日、LINEのストーリー機能に関する不具合について発表した。
株式会社スプラウトは10月20日、同社が2015年から運営するバグ報奨金プラットフォーム「BugBounty.jp」上で10月から「トリアージサポート」を強化することを発表した。
株式会社スリーシェイクは9月2日、バグバウンティプラットフォームを提供するベルギーintigriti社と提携し、バグバウンティの運用を代行するサービス「Bugty」のリリースを発表した。スリーシェイクによると本サービスは、日本初のバグバウンティ運用代行サービスとなる。
現在は修正対応済みです。
Google は、「Vulnerability Reward Program」と呼ぶ同社の懸賞金付きのバグ報告プログラムを通して、2010 年以降同社の各サービスで見つかった 1 万 1,055 件のバグに対して懸賞金を支払ったと明かした。
日本マイクロソフト株式会社は6月16日、同社 セキュリティ レスポンス チーム セキュリティ プログラム マネージャ 脆弱性報告窓口 担当 垣内 由梨香 氏の署名記事を配信し、同社製品の日本語での脆弱性報告の手続きについてのアナウンスを行った。
