ep35 Security (Bug Bounty)
Info
- published_at:
- guest: @kinugawamasato
- guest: @k2wanko
- guest: @hnagatomo
Theme
第 35 回のテーマは Security の Bug Bounty 編です。
今回は、脆弱性報奨金制度(Bug Bounty)のしくみについて、 Bug Hunter として報告をする側である @kinugawamasato さんと、報告を受け付ける側である @k2wanko さんと、 @hnagatomo さんをお呼びして議論しました。
-
報告する側
- ハンターは何を見ているか
- ハンターにとっての報告制度
- 報告しやすさ
- CSP と脆弱性
- バグハントを始めたい人へ
-
報告される側
- なぜ報奨金制度を行うのか
- プラットフォームと自前運営
- 評価の難しさと CVSS
- 成立するが CSP でブロックされるバグはどう扱うか
- 報奨金制度を始めたい人へ
これらを踏まえ、 Web セキュリティで 今何が起きているのか、 これからどうなっていくのか について議論しました。
Show Note
- 脆弱性報奨金制度 | サイボウズ株式会社
- LINE Security Bug Bounty Program
- 先進 2 社が語るバグ報奨金制度、「やはり社内でも反対意見はありました」
- bugbounty.jp
- hackerone
- セキュリティ・キャンプ実施協議会
- 2017 年 LINE Security Bug Bounty Program の結果について : LINE Engineering Blog
- 「サイボウズ バグハン合宿 2017」 開催報告 - Cybozu Inside Out | サイボウズエンジニアのブログ
- セキュリティ未経験だったけど入社 1 年目から Bug Bounty Program 運営に参加してみた
- 共通脆弱性評価システム CVSS 概説:IPA 独立行政法人 情報処理推進機構
- Masato Kinugawa Security Blog: たぶん XSS が理由でインターネットがとまった
- 脆弱性関連情報の届出受付:IPA 独立行政法人 情報処理推進機構
- CSP Report 収集と実レポートの考察 | blog.jxck.io
- GitHub’s post-CSP journey
- https://tools.ietf.org/html/draft-foudil-securitytxt
- https://securitytxt.org/