Appleのソフトウェアは全般的なセキュリティの高さで高く評価されていますが、それでも脆弱性や問題が時折発見されています。研究者がこれらの問題を発見しやすくすることは良い取り組みであり、Appleはまさにそれを実践しています。
Appleは水曜日に、新たなセキュリティ研究デバイスプログラムを正式に開始しました。このプログラムは、研究者が研究用に特別に設計された専用ハードウェア(iPhone)を入手できるようにするという理念に基づいて設計されています。このプログラムには、標準のiOSとは異なる独自のコード実行および封じ込めポリシーが含まれており、セキュリティ研究をさらに容易にします。
セキュリティ研究デバイス(SRD)は、Appleが新リソースの公式ランディングページで説明しているように、セキュリティ研究のみを目的としています。研究者はシェルにアクセスでき、研究中に必要な開発ツールを実行できます。また、必要に応じて権限を選択することもできます。これらの重要な変更点を除けば、SRDは標準的なiPhoneに可能な限り近い機能を備えています。
Appleは次のように付け加えている。
- SRD を使用して脆弱性を発見、テスト、検証、確認、または確認した場合は、速やかに Apple に報告してください。また、バグがサードパーティのコードに存在する場合は、適切なサードパーティにも報告してください。脆弱性に関する作業のいずれの側面においても SRD を使用していなかった場合、Apple は脆弱性を報告することを強く推奨しています(Apple セキュリティバウンティを通じて報奨金も支給されます)。ただし、報告は必須ではありません。
- Apple製品に影響を与える脆弱性をご報告いただいた場合、Appleは公開日(通常はAppleが当該問題を修正するためのアップデートをリリースした日)をお知らせいたします。Appleは誠意を持って、各脆弱性を可能な限り速やかに解決できるよう努めます。公開日までは、脆弱性について他の方と議論することはできません。
Apple社によると、これらのSRDユニットは12ヶ月ごとに更新可能で、研究者はユニットの取得を申請する必要があるとのことです。SRDはプログラム期間中、Apple社の所有物となります。また、このユニットは日常的に持ち運ぶためのものではなく、「プログラム参加者の敷地内に常に保管しておく必要がある」としています。
資格要件
- Apple Developer Program のメンバーシップアカウント所有者であること。
- Apple プラットフォーム、またはその他の最新のオペレーティング システムやプラットフォーム上のセキュリティ問題を発見することに成功した実績があること。
- 対象となる国または地域に拠点を置いていること。*
以下の場合は参加できません:
- 米国の禁輸対象国、米国財務省の特別指定国民リスト、米国商務省の取引禁止者リストまたは事業体リスト、またはその他の取引禁止対象者リストに掲載されている場合。
- あなたが居住する管轄区域における法定成年年齢未満(多くの国では 18 歳)であること。
- 現在または過去 12 か月以内に Apple に雇用されたこと。
研究者の方でSRDに応募したい方は、こちらから応募できます。
