サービスやソフトウェアに含まれる脆弱性の報告を外部から求める「バグ報奨金プログラム」を導入する企業が増えている。どのようなプログラムで、どのように実施されているのか?
近年、一部の大手テクノロジー企業がセキュリティの脆弱性をできるだけ早く見つけて修正するために「バグ報奨金プログラム」を導入している。バグ報奨金プログラムを導入する企業をサポートするサードパーティーベンダーの市場も活発化している。だがこのようなプログラムは、社内で対応するよりも、外部に委託するのが賢い選択肢なのだろうか?
バグ報奨金プログラムは、セキュリティのバグを見つけて脆弱なシステムの所有者に報告したセキュリティ調査員に、企業から報酬が支払われる。通常、報酬は現金だ。報奨金を提供する目的は、できる限り多くのセキュリティ調査員の目をコードの脆弱性に向けさせることにある。数カ月〜数年間気付かないまま放置され、脆弱性として悪用される可能性がある欠陥を修正できることを期待している。
バグの報奨金の金額は企業によって大きく異なる。例えば、米Facebookの「Facebook Bug Bounty」では一定の条件を満たす脆弱性には最低500ドルの報奨金が支払われる。一方、米Google「Patch Rewards Program」の報奨金はより高額だ。リモートで実行できる危険な脆弱性には最大2万ドルの報奨金が支払われる。
情報システム部などIT製品・サービスの導入に関与する方を対象にお伺いします。
【特典】アンケート回答者の中から抽選で3名さまに「Amazonギフト券(5000円分)」をプレゼント
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
トラフィック1300%増、生成AIがEコマースを変える
アドビは、2024年のホリデーシーズンのオンラインショッピングデータを公開した。
「ドメインリスト貸し」は何がマズい? サイトの評判の不正使用について解説
「サイトの評判の不正使用」について理解し、正しい対策が取れるにしましょう。
代理店にもAIにも「丸投げ」はダメ 成果報酬型マーケティングを成功させるポイントは?
「成果報酬型マーケティング」を実現する上でインターネット広告業界が直面する課題とは...