現在、当サイト「mozilla.org 日本語版」の和訳文書は更新されておらず、mozilla.org の原文 よりも内容が古くなっている可能性があります。ご不便をお掛けしますが、最新の情報は原文をご確認ください。



Mozilla セキュリティバグ報奨金制度

はじめに

Mozilla セキュリティバグ報奨金制度は、Mozilla ソフトウェアのセキュリティ調査を奨励し、世界で最も安全なインターネットクライアントを開発する私たちの取り組みに協力してくださった方々に報いるために企画されました。有効で重大なセキュリティバグの報告者には、現金で 500 ドルの報奨金と Mozilla T シャツを差し上げます。

この試みのための立ち上げ資金を提供してくださった LinspireMark Shuttleworth に深く感謝します。Mark Shuttleworth は、この取り組みを支援するために、ある挑戦をしてくれました。あなたも今すぐ寄付をしてください。あなたの寄付は課税控除の対象となり、最高 5000 ドルまで同額が Mark Shuttleworth によって寄付されます。

報奨金ガイドライン

報奨金は、以下の基準に当てはまる、重大な セキュリティバグに対して与えられます。

  • セキュリティバグは独自に発見したものに限ります。過去に報告されているバグは対象となりません。
  • セキュリティバグは、リモート攻撃を引き起こすものに限ります。
  • セキュリティバグは、Mozilla Foundation によってリリースされた、Mozilla Application Suite、Firefox、Thunderbird すべての (あるいはいずれかの) 最新版に存在していることが条件となります。
  • サードパーティの追加ソフト (Java、プラグイン、拡張機能など) に含まれる、あるいはそれらによって引き起こされるセキュリティバグは、報奨金制度の対象となりません。
  • バグを含むコードの作者自身、あるいは (チェックインレビューを提供するなど) そのコードについて Mozilla プロジェクトへの貢献に関わった人は報告できません。
  • Mozilla Foundation の従業員は対象となりません。

もしあなたが、このセキュリティバグを仕事の一部として (つまり、Mozilla に関する有給作業を行っている途中で) 発見した場合は、報奨金への申し込みをご遠慮くださいますようお願いいたします。私たちの基金には限りがあり、この制度は、Mozilla プロジェクトでも特に給与をもらった作業をしていない、一般の方々に焦点を当てたいと考えているからです。

2 人以上の方が一緒にバグを報告した場合、500 ドルは人数分で分けられます。

手順

バグを登録 し、発見したセキュリティバグを説明してください。入力フォームの下の方にあるチェックボックスにチェックを入れ、そのバグレポートを機密扱いに指定してください。バグを登録したら、脆弱性を実証した「概念実証」テストケースまたはリンクを添付してください。そういったテストケースは、必ずしも必要ではありませんが、そのバグの報告を、より迅速かつ的確に判断するための材料として役立ちます。

Mozilla セキュリティグループ にメールを送り、登録したバグのナンバーと要約をお知らせください。もしバグを登録できない場合は、メールに詳細を記述し、概念実正テストケースまたはリンクを添付してください。Mozilla Foundation のスタッフと Mozilla セキュリティグループが、報告されたバグが報奨金の条件に当てはまるかどうかを判断し、あなたに連絡を取ります。

私たちは、必要に応じて、そのバグに関するさらなる情報を提供していただけるかどうかお伺いします。また、Mozilla の技術者とともに、バグの再現と原因究明、修正作業に協力していただくようお願いします。このプロセスの一環として、私たちはあなたがバグに関する内部議論に参加できるよう、完全なアクセス権を提供します。詳しくは セキュリティバグ取り扱い指針 をご覧ください。

この制度に関する詳しい情報は、セキュリティバグ報奨金制度 FAQ をご覧ください。