バグバウンティは、報奨金制度のある脆弱性報告プログラムです。
企業やサービスが公開した対象に対して、定められたルールの中で脆弱性を見つけて報告すると、評価や報奨金が出ることがあります。
まず押さえたいポイント
- ルールのある公開プログラム
- 許可なく試す行為とは別物
- 実務の報告力にもつながりやすい
どんな場面で使うか
- セキュリティ学習の実践
- 報告の練習
- 外部公開サービスの安全性向上
どんなふうに理解するとよいか
バグバウンティは、許可された範囲で現実のサービスを見る学習機会 と考えると分かりやすいです。
押さえておきたい注意点
対象範囲、禁止事項、報告方法を守らないと問題になります。
ルール外の行為は、学習や善意のつもりでも許されません。
実務で見るポイント
- ルールを読む力がいる
- 報告の質がかなり重要
- 再現性と証跡整理が評価されやすい