バグハンターとの信頼を醸成 - サイボウズが4年ぶりに合宿イベント
イベントを終え、今回参加したサイボウズのPSIRTメンバーは、久々に開催した「バグハンター合宿」について口々に有意義なものだったと感想を述べた。ソースコードの開示にも手応えを感じている。

「著名なバグハンターと対面しつつ、脆弱性の再現性を眼の前で確認するなど貴重な経験ができた」「スキルアップやモチベーションの向上にもつながる」との声もあり、今後のPSIRT活動に大きな刺激となったようだ。
脆弱性の検証にあたっては、専門業者に依頼するといった方法もある。とはいえ、検証対象を絞り込む必要があったり、限られた人数による調査の割にコストもかさむなど課題が多いという。
それに対し、脆弱性報奨金制度では、豊富な検証経験を持つさまざまなハンターによる高度な攻撃手法を使った報告など、通常の検証と差別化されており、メリットが大きいと話す。
当初珍しかった脆弱性報奨金制度もソフトウェアベンダーへ徐々に広がりを見せているが、多数ある製品のなかから自社製品を調査対象として選んでもらえることに感謝の言葉も聞かれた。
(Security NEXT - 2023/12/27 )
ツイート
関連リンク
PR
関連記事
「SUSE Manager」にRCE脆弱性、アップデートで修正 - PoCは公開済み
個人情報をメールで誤送信、半年後に判明 - 長崎国際観光コンベンション協会
学修システムに誤設定、仮保存の個人情報が閲覧可能に - 浜医大
財務事務所で個人情報含む書類紛失と誤送付が判明 - 静岡県
6月はフィッシング報告が減少、証券関連影響 - URLは増加
すかいらーく「テクアウトサイト」 - クレカ情報流出の可能性
Pythonの「tarfile」モジュールにサービス拒否の脆弱性
Apple、「macOS Sequoia 15.6」など公開 - 脆弱性87件を修正
「iOS/iPadOS 18.6」で複数脆弱性を修正 - KEV掲載済みの脆弱性も
「oauth2-proxy」に認証バイパスの脆弱性 - アップデートで修正