出典:GitHub公式
詳細を読む
GitHubは2026年5月15日、バグバウンティプログラムの提出基準を大幅に引き上げると発表しました。過去1年間でAIツールの普及に伴い報告件数が急増した一方、実際のセキュリティ影響を示さない低品質な報告が大量に寄せられ、トリアージの負荷が深刻化していました。業界では同様の理由でプログラムを閉鎖する企業も出ています。
新基準では、すべての報告に実動する概念実証(PoC)と具体的な攻撃影響の提示を求めます。「理論上可能」という記述だけでは不完全とみなされ、スコープ外や既知の対象外項目に該当する報告はNot Applicableとして処理されます。AIツールの活用自体は歓迎する姿勢を明示しつつも、出力の検証責任は研究者側にあると強調しています。
GitHubは「共有責任モデル」の考え方も改めて整理しました。悪意あるリポジトリのクローンやAIツールへの信頼できないコンテンツの入力など、ユーザー自身の判断に起因するシナリオは、GitHubのセキュリティ制御の回避には当たらないと位置づけています。一方、ユーザーの能動的な信頼行為を必要としないセキュリティ制御の迂回は高く評価するとしています。
報酬体系も見直され、セキュリティ影響が軽微な報告にはバウンティではなくGitHubグッズで対応する方針に変更されました。深く検証された高インパクトな発見に報酬を集中させる狙いです。GitHubは、トリアージの迅速化と適正な報酬の実現により、業界最高水準のプログラムを目指すとしています。