Vercelは2月3日(現地時間)、自社のオープンソースソフトウェア(OSS)を対象としたバグバウンティプログラムをHackerOneで公開した。これまで限られた研究者グループを対象に非公開で実施していたが、今回、全世界のセキュリティ研究者に門戸を広げている。
今回の一般公開により、Next.jsやNuxt、SWR、Svelte、Turborepo、AI SDK、Vercel CLI、Durable、flags、ms、nitrojs、async-sema、skillsなど、Vercelの主要なOSSプロジェクトがバグ報告と検証の対象となる。これらのプロジェクトは多くの開発現場で使用されており、脆弱性の発見と対策強化が求められていた。
2025年8月から実施していた非公開プログラムでは、深刻度の高い脆弱性が複数報告され、脆弱性管理とCVE公開の体制強化に寄与した。先行してWeb Application FirewallやReact2Shell脆弱性に特化したバウンティでは、100万ドル超の報酬が研究者に支払われた。
参加希望者は、HackerOneの専用ページから対象範囲や報酬体系、提出ガイドラインを参照し、脆弱性を報告できる。Vercelは、全ての報告をセキュリティチームが審査し、迅速かつ透明性の高い対応を行う姿勢を示している。
- 関連リンク
この記事は参考になりましたか?
- この記事の著者
-
CodeZine編集部(コードジンヘンシュウブ)
CodeZineは、株式会社翔泳社が運営するソフトウェア開発者向けのWebメディアです。「デベロッパーの成長と課題解決に貢献するメディア」をコンセプトに、現場で役立つ最新情報を日々お届けします。
※プロフィールは、執筆時点、または直近の記事の寄稿時点での内容です
