報酬
当社の報酬は、脆弱性の深刻度に基づいて決定されます。深刻度の計算には、CVSS 3.1(共通脆弱性評価システム)を使用しています。
発見が困難なユニークなバグや、高品質な報告に対しては、より高額な報酬をお支払いする場合があります。また、悪用のリスクを下げる複雑な前提条件を持つバグに対しては、報酬額が低くなる場合があります。
なお、報酬額はエクソーラの裁量により決定されます。補償的な対策や背景によっては、問題の深刻度が低く評価されることがあります。
表に示された金額は、各深刻度レベルの最大金額として考慮されるべきですが、エクソーラの裁量によりボーナスが与えられる場合があります。
| 重大度 | 金額(単位:米ドル) |
|---|---|
| 重大 | $1,000 - $2,000 |
| 高 | $800 |
| 中 | $500 |
| 低 | $100 |
重複した報告があった場合、完全に再現可能な最初の報告が採用されます。
同一の根本原因に起因する複数の脆弱性については、報奨金は1件のみとなり、その原因を最初に特定した報告に対して支払われます。報奨金は検証完了時に授与されます。ただし、脆弱性の深刻度を調査するのに時間がかかる場合があり、報奨金の支払いが遅れることがあります。
バグを調査する際は、ご自身の(複数の)アカウントのみでテストを行い、他のアカウントとやり取りしたり、他のユーザーに危害を与えたり、プライバシーを侵害したりする行為を行わないでください。報酬の対象となるには、すべてのルールに従う必要があります。
ご不明な点がございましたら、エクソーラウォレットアカウントでより迅速なチャットサポートを受けるか、以下のフォームからメールをお送りください。
バグ報告を提出することにより、お客様はエクソーラバウンティプログラムポリシーに準拠することに同意するものとします。このポリシーは、エクソーラに関連するいかなる脆弱性やバグの詳細についても、公的および私的な開示を禁止しています。
本プログラムへの参加は、上記の規則と条件を遵守することに同意するものとします。報酬の対象となるには、すべての規則に従う必要があります。