Cloudflare の有償パブリック・バグバウンティ・プログラムが開始された

Cloudflare launches a paid public bug bounty program

2022/02/01 BleepingComputer — Web インフラ/Webサイトのセキュリティに特化したプロバイダーである Cloudflare は、新たな公開バグバウンティ・プログラムの開始を発表した。Cloudflare の Product Security Engineer である Rushil Shah は、「本日、Cloudflare は有償パブリック・バグバウンティ・プログラムを開始する。私たちは、バグバウンティが全てのセキュリティ・チームにおける、ツール・ボックスの重要な一部であると信じており、ここ数年、プライベート・バグバウンティ・プログラムの改善と拡大に努めてきた」と述べている。

新しい公開バグバウンティ・プログラムは、2014年に創設された無償の脆弱性開示プログラムに続くものでだ。このプログラムを通じて、Cloudflareは 1,197件の報告を受けたが、研究者たちが同社のインフラや製品を理解するのに苦労し、有効な報告はわずか 13% だった。

2018年に Cloudflare は、研究者たちのエクスペリエンスの改良に焦点を当てた、プライベート・バグバウンティ・プログラムを開始した。2022年1月中旬までに、Cloudflare は対象範囲内の脆弱性に対して $211,512 の報奨金を提供しており、年ごとの支払額は、2018年の $4,500 から 2021年の $101,075 まで上昇している。

また同社は、新たな有償パブリック・バグバウンティ・プログラムをリリースする前に、CumlusFire というテスト用サンドボックスを公開し、バグハンターに対してエクスプロイトをテストするための標準化された環境を提供している。

Cloudflare の新しいバグバウンティ・プログラム

本日よりバグハンターは、HackerOne プラットフォーム上でホストされている Cloudflare の新たな有償パブリック・バグバウンティ・プログラムを通じて、Cloudflare 製品で発見されたセキュリティ脆弱性を報告することが可能となる。

また、研究者たちは、Cloudflare の製品に関する詳細情報を、同社の開発者向けドキュメント/API ドキュメント/ラーニングセンター/Cloudflare サポートフォーラムにある資料で確認できる。

問題の CVSS3 深刻度評価に基づく報奨金の内訳は、以下の表のとおりとなる。

SeverityCritical (9.0 – 10.0)High (7.0 – 8.9)Medium (4.0 – 6.9)Low (0.1 – 3.9)
Primary Targets$3,000$1,000$500$250
Secondary Targets$2,700$750$350$200
Other$2,100$500$200$100

Cloudflare の脆弱性に対する、緩和要因やビジネスリスク評価によっては、報告された問題の深刻度評価が低くなる場合もある。

Rushil Shah は、「プライベート・プログラムを成長させたように、パブリック・バグバウンティ・プログラムも、研究者に最高のエクスペリエンスを提供するために進化していく。私たちは、研究者たちが自身の報告が有効なセキュリティ問題であることを確信できるように、ドキュメントが/テストプラット・フォーム/セキュリティ・チームとの対話方法を追加することを目指している」と述べている。

このところ、バグバウンティ・プログラムに関する記事が増えています。2021年12月には「米国の国土安全保障省:Hack DHS バグバウンティ・プログラムを Log4j に拡大」と、「Log4j 脆弱性とバグ報奨金:大衆のパワーが事態を明確にしてきた」がありました。また、年明けには「HackerOne のバグバウンティ・プログラム:そこから見えてくる5つの論点」とうい、とても興味深い記事がありました。つい先日ですが、カテゴリ BugBounty を作りましたので、よろしければ、ご参照ください。

%d bloggers like this: