ep35 Security (Bug Bounty)

Info

Theme

第 35 回のテーマは Security の Bug Bounty 編です。

今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。

  • 報告する側
    • ハンターは何を見ているか
    • ハンターにとっての報告制度
    • 報告しやすさ
    • CSP と脆弱性
    • バグハントを始めたい人へ
  • 報告される側
    • なぜ報奨金制度を行うのか
    • プラットフォームと自前運営
    • 評価の難しさと CVSS
    • 成立するが CSP でブロックされるバグはどう扱うか
    • 報奨金制度を始めたい人へ

これらを踏まえ、 Web セキュリティで 今何が起きているのかこれからどうなっていくのか について議論しました。

Show Note