Google Android Security Rewards Program
グーグル、Android に関してのバグや不具合を発見に対し報奨金を支払うセキュリティープログラム「Android Security Rewards」発表。不具合の深刻度合いにより金額が異なり、実証例を出せる場合には別途プラスの報酬を支払うとしています。
■ プログラム概要
Android におけるバグや不具合(脆弱性)などを発見した場合に報奨金を支払うプログラムです。注意として全ての端末に対しての Android が対象ではなく、指定された端末2機種、スマートフォン「Nexus 6」と、タブレット「Nexus 9」での Android 環境が対象となります。
■ プログラム報酬一覧
バグ、不具合の重要度や、実証例があるかないか、パッチを用意できるかどうかで報酬が大きくかわらます。重要度は「Critical (重要)」から「High (高)」「Moderate (中)」「Low (低)」の4段階。
| Severity (重要度) | Bug | Test case | CTS / patch | CTS+Patch |
|---|---|---|---|---|
| Critical | $2,000 | $3,000 | $4,000 | $8,000 |
| High | $1,000 | $1,500 | $2,000 | $4,000 |
| Moderate | $500 | $750 | $1,000 | $2,000 |
| Low | $0 | $333 | $500 | $1,000 |
■ 対象端末
※ 米国 Google Play ストアで販売されたモデル。
■ 報酬判定や報告に関して
バグや不具合は1つの報告が複数の報告として判定される場合や、逆に複数の報告が1つの報告として判定される場合もあるとしています。重要度の高い脆弱性、特にカーネルやリモート攻撃に関する報酬は最大で2万ドルまで得られるとの事。
バグや不具合は AOSP (Android Open Source Project) 公開バグドラッカーに報告する必要があり、セキュリティバグ報告のテンプレートを使用する事。パッチまたは CTS テスト提出を行う場合は AOSP に直接アップロードするのではなく、バグレポートに添付となっています。
詳しくは公式の案内をご確認ください。
Android Security Rewards Program Rules – Google
https://www.google.com/about/appsecurity/android-rewards/
名前 (Name) が空欄だと「匿名」になり、コメント反映に時間がかかります。名前を入れると投稿後もコメントの編集や削除が可能です。Email は入力しても表示されません。コメントは1度の投稿で【300文字】までとなります。
| 65 |
| 63 |
| 56 |
| 50 |
| 48 |
Blog RSS Feed
Follow Me on Twitter