Google、Android 向けの新しい脆弱性報奨金プログラムの取り組みを発表

Google が Android のセキュリティ問題を発見する方法の 1 つは、脆弱性報奨プログラムを通じて行われます。研究者は発見した Android の脆弱性を送信し、Google がそれらを修正できるようにします。このシステムを改善するために、Google は、より大きな影響を持つセキュリティ脆弱性レポートに対して新しい品質評価システムを追加しています。

新しい制度では、脆弱性レポートは、レポートで提供される詳細の量に基づいて、高、中、低の品質として評価されます。Googleは、新しいシステムにより研究者がより詳細な報告書の提出を促進し、より迅速に問題に対処できるようになることを期待している。この副産物として、研究者はより高額な報奨金を受け取ることが期待されています。

レポート品質評価システムに加えて、Google は最も重大な脆弱性に対する報奨金を最大 15,000 ドルに増額します。これにより、研究者にとっては、他の企業の製品ではなく、Android のバグを探すことに時間を費やすことがより魅力的になるはずです。

Googleは、レポートにおいて正確かつ詳細な説明、根本原因分析、概念実証、再現性、到達可能性の証拠を求めていると述べた。Googleはまた、中程度の重大度の問題には今後CVE（Common Vulnerabilities and Exposures）指定を与えず、重大かつ高重大度の問題にのみ指定すると述べた。参加に興味がある場合は、Google の公開ルール ページをご覧ください。