アカウント名:
パスワード:
発見者がメールで脆弱性を報告すると、同団体のスタッフがその内容の深刻度を判断して本プログラムの対象になるかを決定するという。このときの深刻度は、未報告の脆弱性であること、同団体が公開した各ソフトの最新バージョンに存在する脆弱性であること、他ソフト(Javaやプラグインなど)の影響を受けて発生する脆弱性でないこと、発見者によって記述されたコードが脆弱性に含まれていないこと、同団体の職員でないことの合計5項目で判断される。また、同内容の脆弱性を複数人が報告した場合、500米ドルを分割する形になるとのこと。
同内容の脆弱性を複数人が報告した場合、500米ドルを分割する形になるとのこと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
身近な人の偉大さは半減する -- あるアレゲ人
深刻.... (スコア:1, 興味深い)
Re:深刻.... (スコア:3, 参考になる)
とのことです。ちゃんと問題は検証されるので心配はないようですね。
Re:深刻.... (スコア:1)
ということは、
「ユーザのために発見と同時に公開します」
って人がほかの人に、懸賞金渡さないため脆弱性を報告して黙ってるってことになったりするのかな。
そういう姿勢の是非は問わないけれども、作ってる側から見ればそうなってくれるとうれしいのかもしれないけどたぶんそこまではかんがえてないだろうな。
# まぁそういう人が懸賞金目当てってことはそう多くはないか・・
Re:深刻.... (スコア:1)
詳しくはセキュリティバグ報奨金制度 [mozilla.gr.jp]まで。
で、深刻度ですが、重大(critical)なものが対象で、具体的には任意のコードが実行できてしまうとか、パスワードやクレジットカードの番号等が漏洩する場合とのこと。
詳しくはセキュリティバグ報奨金制度 FAQ [mozilla.gr.jp]まで。