サイボウズが脆弱性報奨金制度のルール改定、OSSコミュニティへの寄付が可能に

　サイボウズ株式会社は16日、同日付で「脆弱性報奨金制度」のルールを一部改定すると発表した。新たに、サイボウズLiveとcybozu.com 運用基盤が対象となる。また報奨金を獲得する報告者は、自らが受け取る代わりに、サイボウズが指定するオープンソースソフトウェア（OSS）コミュニティへの寄付を選択できるようになった。

　サイボウズでは2014年6月から、自社製品の信頼性向上策の一環として、脆弱性報奨金制度を開始している。このプログラムでは、報告された脆弱性の深刻度などに応じ、1件あたり1000円～30万円の報奨金を受け取ることができるが、報告者から「報奨金を受け取る代わりに、寄付ができないか」という問い合わせを複数もらっていたとのことで、今回、OSSコミュニティへの寄付に対応した。

　報告者は報奨金受け取りを辞退する代わりに、サイボウズが指定するOSSコミュニティへの寄付を選択できる仕組みで、この場合、報告者が獲得した報奨金と同額をサイボウズが上乗せし、寄付を行う。寄付は報告者の名義となり、手続きはサイボウズが代行するとのこと。

　なお寄付対象は、現在、Apache Software Foundation、Linux Foundation、日本にあるOWASP Local Chapter（OWASP Japan/OWASP Kansai/OWASP Kyushuなど）から選択できる。