サイボウズ社内での脆弱性に対する意識が高まっているため、2015年は社内での脆弱性発見が多くなることを期待している」と分析した。
○検証環境提供プログラムでシステムへの影響はなし。海外からの報告が予想外に多かった
サイボウズはクラウドサービスを多く抱えているため、実際に動いているシステムを元に検証するには危険性が存在する。そこでサイボウズでは、脆弱性報奨金制度のために「検証環境提供プログラム」を提供している。
検証環境提供プログラムは、サイボウズの実際のサービスとまったく同じものだが、テスト用として提供されているため、バグハンターが様々なテストを行える。実際のサービスに影響を与えることなく、テストできるのが最大のメリットだ。検証環境提供プログラムには、月間2万から3万リクエストがあったそうだ。
2014年の脆弱性報奨金制度を実施してわかったことがいくつかある。
まずは関係する脆弱性がリリースされると、バグハンターによって速やかに検証されること。たとえばShellshockの事例では、リリースされた2日後にはバグハンターによる検証のシグニチャーがテストされていた。
また海外からの報告が予想外に多かったようだ。