サイボウズさんが、脆弱性発見者に報奨金制度をルール化とのこと。

サイボウズは6月19日、同社製品に関する脆弱性発見者に報奨金を支払う「脆弱性報奨金制度」を開始した。2014年2月以降に報告された37件の脆弱性に対しても、遡って発見者に報奨金を支払うという。
制度の対象となるのは、同社のクラウドサービス基盤「cybozu.com」で稼働するサービスや同社指定のパッケージ製品およびAPI、Webサイト。期間は12月25日までで、それ以降も制度の見直しを行いながら継続する予定。
報奨額は、共通脆弱性評価システム「CVSS v2」の評価スコア（最大値は10.0）に基づき、スコアが「7.0」以上のものに対してはスコア値に3万円をかけ合わせた金額（上限30万円）「6.9」以下ではスコア値に1万円をかけ合わせた金額（同6万9000円）、Webサイトは1件につき一律1万円。1回の報告における脆弱性が複数の場合は100万円を上限としている。

脆弱性発見者に報奨金、サイボウズが新制度スタート - ITmedia エンタープライズ