ep35 Security (Bug Bounty)

Theme

第 35 回のテーマは Security の Bug Bounty 編です。

今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。

• 報告する側
  • ハンターは何を見ているか
  • ハンターにとっての報告制度
  • 報告しやすさ
  • CSP と脆弱性
  • バグハントを始めたい人へ
• 報告される側
  • なぜ報奨金制度を行うのか
  • プラットフォームと自前運営
  • 評価の難しさと CVSS
  • 成立するが CSP でブロックされるバグはどう扱うか
  • 報奨金制度を始めたい人へ

これらを踏まえ、 Web セキュリティで 今何が起きているのか、 これからどうなっていくのか について議論しました。

Show Note

• 脆弱性報奨金制度 | サイボウズ株式会社
• LINE Security Bug Bounty Program
• 先進 2 社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
• bugbounty.jp
• hackerone
• セキュリティ・キャンプ実施協議会
• 2017 年 LINE Security Bug Bounty Program の結果について : LINE Engineering Blog
• 「サイボウズ バグハン合宿 2017」 開催報告 - Cybozu Inside Out | サイボウズエンジニアのブログ
• セキュリティ未経験だったけど入社 1 年目から Bug Bounty Program 運営に参加してみた
• 共通脆弱性評価システム CVSS 概説:IPA 独立行政法人 情報処理推進機構
• Masato Kinugawa Security Blog: たぶん XSS が理由でインターネットがとまった
• 脆弱性関連情報の届出受付:IPA 独立行政法人 情報処理推進機構
• CSP Report 収集と実レポートの考察 | blog.jxck.io
• GitHub's post-CSP journey
• https://tools.ietf.org/html/draft-foudil-securitytxt
• https://securitytxt.org/