伊藤彰嗣氏は「報奨金のベースとなっている評価基準・CVSS(v2)自体に限界がある。CVSSではサーバー側の被害のみを評価し、クライアント側の被害は評価していないため、XSS脆弱性がどうしても低くなってしまう」と述べた。
そこで2015年の脆弱性報奨金制度では、サイボウズ独自の基準でXSS脆弱性の評価額をアップさせた。2014年と比べて、最高で2倍の報奨金となる。またSQLインジェクションでも評価を変更し、特定のケースで評価を高めて報奨金をアップさせる。
アンケートでのもう1つの要望は、報奨金の支払いが遅いという指摘だ。2014年の制度では「報告された脆弱性を一般に公開してから」の支払いだったため、平均で支払いまでに約10ヶ月かかっていた。「忘れてしまいそう」という声もあり、2015年は支払いを早めるように変更された。
2015年の制度では「一般公開するか、脆弱性認定後に6ヶ月を経過したら支払う」という形になっている。
このように昨年の反省点を元に、2015年のサイボウズの脆弱性報奨金制度は、2月2日からスタートしている(サイボウズ脆弱性報奨金制度について詳細説明とガイドライン)。12月25日までのおよそ10ヶ月間行われているので、興味がある人はチェックしてみるとよいだろう。
