サイトアイコン Capital P

バグと脆弱性の報奨金プラットフォームHackerOneにWordPressが参加

WordPressがHackerOneにプロジェクトを掲載しました。HackerOneとは、セキュリティーを研究する人々と、企業やオープンソースソフトウェアとを結びつけるプラットフォームで、効率的に秘匿性の高い形で報告者とプロジェクトオーナーとのコミュニケーションのツールが利用できることや、未知のバグや脆弱性の発見につながる報告には報奨金を渡すことができるという点が特徴です。

これまでに、Adobe、Dropbox、Twitterなどが利用しているもので、そこにWordPressが参加したことになります。

対象となるのは、ソフトウェアは以下のもので、

ツールの他に以下のウェブサイトも対象となります。

WordPress Now on HackerOne

上記は、Make.WordPress.orgにWordPressのセキュリティーチームリードのAaron D. Campbellが投稿した記事で、そこでは以下のように書かれています。

HackerOneへの移行は1年以上の時間をかけて行われてきたそうで、これまでにすでに$3,700の報奨金が支払われたそうです(ここまでの支払いはAutomattic社が実施)。

HackerOneのページを見てみると、、、

HackerOneのWordPressページにはセキュリティーチームが興味を持っている内容と、興味をもっていない内容が明記されていて面白いです。

WordPressが求めている報告

WordPressが求めていない報告

実際のページは以下のような見た目で、すべての報告が見えるわけではなく、また、報奨が支払われたどうかなども見ることができます。

レポートの様子はこんな感じ。未公開の報告は読めない。公開されているものはやりとりが読める。すでに報奨金が支払われているものも。

これまでの「メールによる報告」は廃止に

これまでは、security@wordpress.orgというメールアドレスに対して報告を送るようになっていましたが、このメールアドレスはすでにウェブサイトから削除されています。

以下は公式サイトによる情報です。

WordPress が HackerOne での脆弱性報告受け付けを開始しました

セキュリティ

モバイルバージョンを終了