Mozilla は脆弱性報奨金プログラムの範囲を拡大し、同社のウェブサイト全体で使用されているアプリケーション内で発見された問題に対しても報奨金を支払うことになった。
研究者は、Mozillaのウェブプロパティにおける脆弱性を発見することで、その深刻度に応じて500ドルから3,000ドルの報酬を受け取ることができます。Mozillaは、クロスサイトスクリプティングやクロスサイトリクエストフォージェリといったコーディングエラーの追跡を研究者に求めています。サービス拒否(DoS)バグは、ウェブアプリケーション内の技術的な脆弱性とは関係がないことが多いため、対象外としています。
Mozillaはセキュリティブログで、「ユーザーの安全を守るため、ウェブアプリケーションにおけるセキュリティ問題の発見を奨励したいと考えています」と述べています。「また、建設的なセキュリティ研究をさらに推進するため、セキュリティ研究者の努力に報いたいと考えています。」
Mozillaは、研究者はサイト上で問題を発見するために自動ツールを使用するべきではないと述べている。そうしないと、サイトの正常な運用維持に支障をきたす可能性があるからだ。代わりに、研究者に対し、ウェブアプリケーションのオープンソースコードをダウンロードして問題箇所を調査し、自社のサーバー上でソフトウェアを攻撃することを推奨している。
Mozillaは7月、クライアントアプリケーションのバグ発見に対する報奨金を500ドルから最大3,000ドルに引き上げました。同組織は、研究を続ける人々が経済的に持続可能な水準を維持できるよう、報奨金の上限を引き上げる必要があると判断したと述べています。
当時、このプログラムはFirefoxブラウザ、Thunderbirdメールクライアント、Firefoxモバイルブラウザ、そしてこれらの製品が利用するその他のサービスにのみ適用されていました。Mozillaは現在、このプログラムの対象となるウェブサイトのリストを公開しましたが、脆弱性の状況によっては、他のウェブサイトも対象となるとしています。確実に対象となるウェブサイトは以下のとおりです。
* bugzilla.mozilla.org
*.services.mozilla.com
* getpersonas.com
* オーストラリア*.mozilla.org
* www.mozilla.com/org
* www.firefox.com
* www.getfirefox.com
* addons.mozilla.org
* services.addons.mozilla.org
* versioncheck.addons.mozilla.org
* pfs.mozilla.org
* ダウンロード.mozilla.org
