同社は昨年夏、新機能「ロックダウンモード」を発表した際に、報奨金プログラムのアップグレード、倫理的なセキュリティ研究への寄付などについても言及しました。そして今、Apple Security Researchが正式に始動し、専用ウェブサイト、ブログ、報奨金の変更に関する詳細、研究用デバイスプログラムへの応募受付開始など、様々な情報が公開されています。
Apple は本日、2 つのブログ投稿を皮切りに、新しいセキュリティ ハブ Web サイトを立ち上げました。
私たちの画期的なセキュリティ技術は、世界中で18億台以上のアクティブデバイスのユーザーを保護しています。AppleのエンジニアリングチームからAppleのセキュリティに関する最新の進歩について学び、ご自身の調査結果をお送りください。そして、私たちと直接協力して、ユーザーの安全を守る貢献が認められ、報酬を受け取ることができるようにしてください。
Appleセキュリティバウンティの変更
まず、Apple はセキュリティ報奨金プログラムがどのようにアップグレードされたかを詳しく説明しました。
プログラム開始から2年半の間に、研究者の皆様に総額約2,000万ドルの賞金を授与できたことを大変誇りに思います。製品カテゴリーでは平均4万ドルの賞金を授与し、影響力の大きい問題に対しては10万ドルを超える賞金を20件授与しました。私たちの知る限り、Apple Security Bountyは業界史上最も急速に成長しているバウンティプログラムです。
この間、私たちのチームは世界中の研究者と緊密に協力し、改善できる点をいくつか学びました。
まず、対応の迅速化を図りました。予想以上に多くの報告をいただいたこともありましたが、チームを増員し、ほぼすべての報告の初期評価を2週間以内、大半は6日以内に完了できるよう尽力しました。
次に、研究者の皆様がより簡単に問題を報告し、Appleのチームとコミュニケーションを取れるよう改善します。Apple Security Researchサイトには、ウェブ上で調査結果をお送りいただき、リアルタイムで状況を把握できる新しい方法が追加されました。Apple IDでサインインし、画面の指示に従って詳細なレポートを送信してください。レポートの進捗状況を追跡し、Appleのエンジニアと安全にコミュニケーションを取りながら、調査を進めることができます。
…
透明性の向上にも取り組んでいます。ウェブサイトには、Appleセキュリティバウンティに関する詳細な情報と評価基準が掲載されています。バウンティのカテゴリーには範囲と例が記載されているため、調査の焦点をどこに絞るか、また、報告が特定の報奨金の対象となるかどうかを予測することができます。Appleのサービスとインフラストラクチャ、そして製品に影響を与える報告についても、範囲を設定しています。
セキュリティ研究機器の申し込み受付開始
新しいウェブサイトで共有されたもう一つの発表は、Apple セキュリティ リサーチ デバイスの申請窓口が開かれたことです。
本日から2022年11月30日まで、2023年度Appleセキュリティ研究デバイスプログラムへの応募も受け付けています。このプログラムでは、セキュリティ研究専用のiPhoneが提供され、iOSを使った研究活動のスタート、深掘り、効率化に役立ちます。
セキュリティブログ
Apple は、新しい技術セキュリティ ブログの最初の投稿で、「次世代の XNU メモリ セーフティ: kalloc_type」について共有しました。
セキュリティ研究ブログの開設を記念し、iPhone、iPad、Macの中核となるカーネルであるXNUにおける重要なメモリ安全性のアップグレードを掘り下げた技術記事シリーズの第1弾をご紹介します。現在、ほぼすべての人気デバイスは、CやC++などの「メモリ安全でない」とされるプログラミング言語で記述されたコードに依存しており、これらの言語は特定の種類のソフトウェアバグを確実に防止する保証を提供していないため、メモリ安全性の向上は業界全体のエンジニアリングチームにとって重要な目標となっています。
Apple の新しいセキュリティ サイトで全文をお読みください。
Appleのセキュリティ関連の求人
さらに、Apple には、履歴書と同社のセキュリティ関連職種への関心を送信するためのリンクがあります。
もっと
Apple の新しいセキュリティ Web サイトの下部には、開発者向けの追加リソースがいくつかあり、Apple プラットフォーム セキュリティ ガイドへのリンクと Apple サポートがあります。
varlong.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
