EU-FOSSA 2 オープンソースソフトウェア向けバグバウンティプログラムの終了について
バグバウンティとはなにか、脆弱性診断の種別などについて詳しく知りたい方は脆弱性診断とは(⾮エンジニア向け)もしくは脆弱性診断とは(エンジニア向け)もぜひご参照ください。
2019年1月、Intigritiは欧州委員会(DIGIT)およびデロイトと共同で、欧州におけるエキサイティングなサイバーセキュリティへの挑戦、「EU-FOSSA 2バグバウンティプログラム」を発表しました。このプログラムの一環として、欧州委員会は、EUの機関が依存しているFree Open Source Softwareのプロジェクトに15のバグバウンティを開始しました。
現在、選択されたEU-FOSSAプログラムをより安全にするためのこのバグハントは終わりを告げ、EU-FOSSA 2プロジェクトは、欧州のフリー&オープンソースソフトウェアのエコシステムにプラスの影響を与えたとして、欧州議会のメンバーから賛辞を受け、2020年6月2日に終了しました。また、このプログラムは、一般市民やメディアからも好意的な注目を集めたのです。
Intigritiとデトロイトは、EU-FOSSA 2プロジェクトに参加し、7-ZIP, DSS, KeePass, Apache Tomcat, Drupal, glbic, PHP Symfony, WSO2, FluxTLの9つのプログラムのフォローアップを共同で担当しました。
これらのプログラムの中で、当社のバグハンターは249件のバグを発見し、そのうち57件は受け入れられ、33件は重大または高度のバグとみなされました。バグバウンティとして総額111,470ユーロを支払い、そのうちの最高額は10,000ユーロでした。報告者が提供したいくつかの解決策がオープンソース・チームに受け入れられ、報告者には20%のボーナスが支払われたのです。
これらのバグ報奨金は、欧州委員会がFOSSコミュニティと関わり、欧州機関が使用するオープンソースソフトウェアの一般的な認知度を向上させるための幅広い取り組みの一部でした。EU-FOSSA 2プロジェクトは、バグバウンティ以外にも、以下のような複数のイニシアチブが含まれていました。
- EUの機関で使用されているオープンソースソフトウェアの目録
- オープンソース開発者とのハッカソンを3回開催
- 2つの調査(1つは世界の行政機関におけるオープンソースの最新動向について、もう1つはライセンスとITサポートに関する将来のオープンソースプロジェクトの要件について)
この成果は、欧州委員会が今後策定する新たなオープンソース戦略に貢献するとともに、EU諸機関で使用されている最も重要なオープンソースソフトウェアのセキュリティ向上にも寄与しています。欧州議会議員のAndrus Ansip氏は、次のように述べています。
「個人で対応するよりも、オープンソースソフトウェアのコミュニティにとってはるかに効率的でした。」
私たちはその一翼を担えたことを光栄に思うとともに、今後の新たな挑戦に期待しています。
出典:Intigriti
———————————————
バグバウンティプログラムを活用してみる
スリーシェイクは欧州を代表するバグバウンティプラットフォームを提供するIntigritiと世界で初めて提携。高い技術力を持ったスリーシェイクのセキュリティエンジニアが、専門的なトリアージ・英語でのコミュニケーションなどの運用を代行。セキュリティ領域の専門家がいない、社内のリソースをかけられない企業もバグバウンティプログラムを活用できます。