Metasploit、報酬として総額5000ドルを支払う脆弱性検証モジュール開発プログラムを発表

 オープンソースの脆弱性検証フレームワーク「Metasploit」のプロジェクトチームは6月14日、エクスプロイトモジュール開発に対して奨励金を支払うプログラム「Exploit Bounty」を発表した。指定した30件の脆弱性のエクスプロイトモジュール開発に対し、総額5000ドルの報酬が支払われる。

 Metasploitはペネトレーションテストのデファクト標準「Metasploit Framework」を開発するコミュニティ。米Rapid7の出資を受けている。

 新たに展開するExploit Bountyプログラムは、指定された脆弱性30件に対するエクスプロイトモジュールを開発した開発者に総額5000ドルを支払うというもの。内訳は報酬500ドルの脆弱性が5件、報酬100ドルが25件。

 すべて先着順となり、公開されている30件のリストのうち所有者がいないものを選択して報告する。所有者として承認されると、エクスプロイトの開発を開始できる。1週間以内にエクスプロイトモジュールを開発できなかった場合は、その脆弱性は再度「所有者なし」となり、再度オープンとなる。報酬は各脆弱性につき1回のみ支払われる。期間は7月20日まで。

 500ドルの脆弱性5件の中には、「Google Chrome」のCVE-2011-1807(重要度は最高レベル、5月にリリースされた安定版「バージョン11.0.696.71」で修正されている)のほか、「IBM Lotus Notes」、「IBM Tivoli Directory Server」などの脆弱性がある。

 Metasploitでは報酬プログラムの目的について、オープンソースの開発者コミュニティへの謝意を示すこと、それにMetasploitモジュールの作成奨励のため、と説明している。

米Rapid7
http://www.rapid7.com/

Metasploit
http://www.metasploit.com/