Node.jsプロジェクトは2026年4月2日、セキュリティバグバウンティプログラムを一時停止すると公表しました。停止の理由は、Node.js自身の方針転換ではなく、外部資金源の打ち切りです。これまでNode.jsはHackerOneを通じて脆弱性報告を受け付け、報奨金を支払う仕組みに参加してきましたが、今後は報告受付自体は続ける一方で、金銭的報奨は提供しない形へ変わります。
何が起きたのか
Node.jsは2016年以降、Internet Bug Bountyを通じて、Node.jsの脆弱性を責任ある形で報告した研究者へ報奨金を支払ってきました。
今回停止されるのは、この報奨金の支払い部分です。Node.jsは、Internet Bug Bounty自体が寄付ベースの資金枠組みで支えられており、そのプログラムが停止されたことで、Node.js向けの報奨制度も維持できなくなったと説明しています。
発表文では、この判断はNode.jsプロジェクト自身が主導して決めたものではないと明記されています。あくまで外部の資金提供スキームが止まった結果であり、Node.js側に独自予算がない以上、同じ条件で継続することは難しかったという流れです。
何が変わるのか
Node.jsは今後もHackerOne経由で脆弱性報告を受け付けます。発見者に求められる責任ある報告の流れは変わりません。一方で、今後の報告は報奨金支払いの対象にならないと明言されています。研究者にとっては、Node.js向けの報告は引き続き可能でも、金銭的インセンティブはなくなるということです。
関連記事
Appleがカスペルスキーへのバグ報奨金支払いを拒否
Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)
【2026年】サイバー攻撃・情報漏洩の最新 事例
北朝鮮系ハッカーがAxiosのnpmパッケージを汚染させサプライチェーン 攻撃を実行
【インタビュー】auじぶん銀行が挑んだ「振込×AI」の挑戦
curl プロジェクトがバグバウンティ(報奨金制度)を終了-AI生成による低品質な報告の急増が開発リソースを圧迫
LINEの公式アカウントで情報漏洩-繰り返される個人情報漏洩 インシデント
Microsoft 365 Copilotの不具合で機密ラベル付きメールが要約対象に
DigiCertがバグにより顧客のSSL/TLS 証明書を大量失効させる
