サイボウズ(青野慶久社長)は、6月16日から「脆弱性報奨金制度」のルールを一部改定した。

 「脆弱性報奨金制度」は、サイボウズが提供するサービスに存在するゼロデイ脆弱性を、早期に発見し改修することを目的とする制度。今回、同制度の対象として、新たに「サイボウズLive」「cybozu.com運用基盤」を追加した。また、報奨金が獲得できる報告者は、報奨金を受け取る際に、「報奨金を獲得する」と「報奨金の獲得を辞退し、報告者が獲得した報奨金と同額をサイボウズが上乗せし、寄付する」のいずれかを選択することが可能となった。

 報奨金寄付制度では、報告者は、報奨金受け取りを辞退する代わりに、サイボウズが指定するOSSコミュニティに寄付することができる。この場合、報告者が獲得した報奨金と同額をサイボウズが上乗せし、寄付を行う。寄付は報告者の名義で、サイボウズが代行する。寄付先は、サイボウズが製品開発に利用しているOSSコミュニティ「Apache Software Foundation」、「Linux Foundation」、「日本にあるOWASP Local Chapter(OWASP Japan/OWASP Kansai/OWASP Kyushuなど)」から選択することができる。

 寄付先のコミュニティでは、寄付金はOSSコミュニティの運営費として活用されることが明記されている。報奨金がOSSコミュニティの運営費として活用されることで、サイボウズの製品内で利用しているOSSの開発が活性化し、ひいてはサイボウズ製品の品質向上につながることを期待している。