2014年07月08日 15時00分 UPDATE
特集/連載

Facebook、Googleなどが相次ぎ開始「バグを見つけてお金をもらえる?」、各社が始める報奨金施策の狙いとは

サービスやソフトウェアに含まれる脆弱性の報告を外部から求める「バグ報奨金プログラム」を導入する企業が増えている。どのようなプログラムで、どのように実施されているのか?

[Brandan Blevins,TechTarget]
ik_tt_sec01.jpg

 近年、一部の大手テクノロジー企業がセキュリティの脆弱性をできるだけ早く見つけて修正するために「バグ報奨金プログラム」を導入している。バグ報奨金プログラムを導入する企業をサポートするサードパーティーベンダーの市場も活発化している。だがこのようなプログラムは、社内で対応するよりも、外部に委託するのが賢い選択肢なのだろうか?

 バグ報奨金プログラムは、セキュリティのバグを見つけて脆弱なシステムの所有者に報告したセキュリティ調査員に、企業から報酬が支払われる。通常、報酬は現金だ。報奨金を提供する目的は、できる限り多くのセキュリティ調査員の目をコードの脆弱性に向けさせることにある。数カ月〜数年間気付かないまま放置され、脆弱性として悪用される可能性がある欠陥を修正できることを期待している。

 バグの報奨金の金額は企業によって大きく異なる。例えば、米Facebookの「Facebook Bug Bounty」では一定の条件を満たす脆弱性には最低500ドルの報奨金が支払われる。一方、米Google「Patch Rewards Program」の報奨金はより高額だ。リモートで実行できる危険な脆弱性には最大2万ドルの報奨金が支払われる。

【お知らせ】業務アプリのクラウド活用に関するアンケート調査

情報システム部などIT製品・サービスの導入に関与する方を対象にお伺いします。

【特典】アンケート回答者の中から抽選で3名さまに「Amazonギフト券(5000円分)」をプレゼント


「Firefox」でも実施

この記事を読んだ人にお薦めの関連記事

注目テーマ

ITmedia マーケティング新着記事

news093.jpg

ソネット・メディア・ネットワークスが「Logicad Video Ads」の提供を開始
ソネット・メディア・ネットワークスは、2017年1月17日、「Logicad Video Ads」の提供を...

news102.jpg

「女神のマルシェ」がライブコマース連動企画を実施
Candeeは、セブン&アイ・ホールディングスが提供する総合通販サイト「オムニ7」および日...

news071.jpg

ANAグループの顧客接点活用した訪日外国人向けプロモーション支援サービス、デジタルガレージが提供
デジタルガレージは全日空商事と協業し、国内企業や地方自治体が行う訪日外国人向けマー...