前の投稿 次の投稿

脆弱性報告制度がある企業・サイト一覧(国内・日本語のもの)

脆弱性報告制度のあるサイトを調べてみた。

このテーマだと上野宣氏のリンク集がすごい情報量なのでまずはそちらへ(対象海外サイトですが)

脆弱性報奨金プログラムを提供しているサイト一覧(うさぎ文学日記)
http://d.hatena.ne.jp/sen-u/20121215/p1

以下、付けたしで脆弱性報告について日本語の説明があるページや国内企業のURL(一部海外もある)。

・google
Google のセキュリティとサービスの安全性
-> セキュリティ問題の報告について
http://www.google.co.jp/intl/ja/about/company/security.html

*いま、文中の「詳しくはこちら」がどこにもリンクされてない脆弱性(?)をgoogleに報告しました。(この記事書いてる時に見つけた)

・microsoft
セキュリティ TechCenter
脆弱性に関する情報をお寄せください
http://technet.microsoft.com/ja-jp/security/ff852094.aspx

・フェイスブック
ホワイトハットプログラム(英語)
https://www.facebook.com/whitehat

文中の「Please use a test account instead of a real account when investigating bugs. 」のtest accountの所のリンクから脆弱性検査用の特殊なアカウントを発行してくれる。
そのアカウントでログインして検査する方式。(ちょっとやってみた)

・mozilla
http://www.mozilla.org/security/bug-bounty.html
http://www.mozilla-japan.org/security/known-vulnerabilities/
http://www.mozilla-japan.org/projects/security/security-bugs-policy.html

・セールスフォース・ドットコムの脆弱性報告ポリシー
http://www.salesforce.com/jp/company/disclosure.jsp
> セールスフォース・ドットコムは、セキュリティの脆弱性の報告者に対して、報酬を支払うことはありません。

・mixi脆弱性報告制度
https://developer.mixi.co.jp/inquiry/security/
2014/03/31まで。

・paperboy.co脆弱性報告制度
http://www.paperboy.co.jp/contact/vulnerability_reporting/
(賞金が出るか出ないかはっきりしない)

・その他のサイトの脆弱性はIPAへ
http://www.ipa.go.jp/security/vuln/report/

*IPAへの届出したいけどgmailユーザなどでPGP暗号化ができない場合は、PortablePGPが便利。
(私はこれでIPAとやりとりしています)
http://sourceforge.jp/projects/sfnet_ppgp/

他、脆弱性報告制度のあるサイトをご存知の方は教えてください。情報求む。


追記:
ooooooo_q様よりコメントで情報いただきました。
サイボウズ、常設の脆弱性報告フォームもそういえばあるんでしたね。情報ありがとうございます。

ご存知かとは思いますが cybozuもありますね。
https://www.cybozu.com/jp/support/security.html

あとは大体海外ですが
bugcrowd
https://bugcrowd.com/list-of-bug-bounty-programs/
bugsheet
http://www.bugsheet.com/bug-bounties
hackerone
https://hackerone.com/

Leave a Reply

Powered by Blogger.
© WEB系情報セキュリティ学習メモ Suffusion theme by Sayontan Sinha. Converted by tmwwtw for LiteThemes.com.