はじめに
Google Chromeのセキュリティバグを報告したんですが、日本語で手順を紹介してるやつがないっぽい + issueが一般公開されたので一応備忘録も兼ねて書いておこうと思いました。
Vulnerability Reward Programでお金貰えたの!?って気にする方もいらっしゃる方もいるので先に書いておくのですが、結果的にお金は貰えませんでした。
理由に関しては後述。
今回はたまたま発見した物を報告したので特にバグを発見する手順などは記載していません。
Vulnerability Reward Programとは
簡単に言うとChromeのバグを報告してお金を貰おう!ってやつです。
ついでにここに名前が載ります。
詳しくはこちら
どんなバグを報告したか
【特定文字を検索するとブラウザがクラッシュするバグ】を報告しました。
詳しくはこちら
※ちなみに、issueの中で出てくるblinkというのはChromeのレンダリングエンジンの事です。
報告するにあたって
下記リンクを読みました。
2番目のリンクにSigns A Crash Is Not A Security Bugとの記載があったのですが、DoSによるcrashを対象としているっぽかったのでとりあえず報告しました。
- https://chromium.googlesource.com/chromium/src/+/master/docs/security/faq.md
- https://www.chromium.org/Home/chromium-security/reporting-security-bugs
バグの報告手順
- まずはReporting a Crash Bug
を参考にクラッシュレポートを送信しました。 - その後はこちらから必須項目を入力・再現用のテキストファイルを添付して送信しました。その際、上記で報告したクラッシュレポートのIDを書いておくといい感じっぽいです。また、自分は投稿した後にどのように表示されるかがわからなかったのでREPRODUCTION CASEなどの説明文を消さないで送信したのですが、これは消してから投稿した方がいいかもしれないですね。残ってると見にくいかも。
- あとは提出した情報でバグが再現できた場合はあれよあれよと修正が進むっぽいです。(自分の場合は一度リリース時期の関係で修正したbranchのMergeがRejectされたりしてるのですが、自分の方では何もアクションを起こしていないが最終的にMergeされた)
報告してどうなったか
CVEについて
CVE-2020-6404として登録されました
リリースについて
無事にM80に取り込まれ、リリースされました。
なぜお金は貰えなかったのか
issueに書いてあるのですが、以前に内部で報告されていたのでrewardの対象にはなりませんでした。。。
最後に
今回はSecurityについて報告する専用のリンクからバグ報告フォームに行ったので特にTemplateやSummaryを選択・記載する必要はなかったのですが、一般のバグを報告するときには適切なのを選ばないといけないと思うと結構だるいかもしれないですね。。。
どこかにこういうときにはこれ選んどけ!ってやつはあるんでしょうか?
一般バグを報告する際には類似バグを探す + TemplateやSummaryを何にするかで悩んでなかなか報告が捗らなさそうだなーとか思いました。
結構な量の英語を読むのがダルかった(ほとんど自動翻訳に頼りましたが) + 資料を探す手間が結構かかりましたが、資料を見つけることさえ出来れば報告に関する基本的な内容は記載されているので難易度はそんなに高くないのかなーと思いました。
自分の認識が間違っている箇所があれば教えていただきたいです。
また、拙い文章ですが今後どなたかの役にたてばいいなーと思います。