「Google Chrome」のバグ報奨金プログラム--金額の妥当性に疑問符も - (page 3)

　「このGoogleのプログラムを利用する人々も一部に出てくると思う。1つ確かなのは、脆弱性には価値があるということだ」（Amini氏）

　「iDefense Intelligence」のディレクターであるRick Howard氏によれば、Googleの報酬体系はiDefenseが支払う最も低い報酬と同等だという。

　「Googleは、過去に全く経験のない大規模で複雑なプロジェクトに取り組んで成功することに積極的であることを常に示してきた。同社が今回成功しない理由は見当たらない」とHoward氏は述べる。

　そして、Googleは常に安値をとるわけではない。2009年7月、同社は「Native Client Security Contest」で優勝した研究者チームに8000ドル以上を支払った。

　Google Security TeamのChris Evans氏は、バグハンターへの報酬が500ドルというのは少なすぎるとの不満に対するコメントを求められて、電子メールに次のように書いた。「われわれは、さまざまな種類のバグを支払い対象にし、研究者が簡単に参加できるように、このプログラムを入念に設計した。例えば、われわれは実際に機能する攻撃手法（多くの場合、バグを発見するよりはるかに難しい）を必ずしも求めていない。また、『Chromium』サンドボックス内部の明らかなバグにも興味がある」

　Chromiumは、GoogleのChromeブラウザと、今後リリース予定の「Google Chrome OS」を対象とするオープンソースプロジェクトだ。Evans氏によれば、Chrome OSのローンチ後、同OSが報奨金プログラムに含まれるかどうかを言うのはまだ早すぎるという。

　「Chromiumは既に、セキュリティ研究者とのコラボレーションの恩恵を受けている。われわれがどのような行動をとるかに関係なく、研究者たちが今後もChromiumのコードを丹念に検査し、改善する手助けをしてくれることをわれわれは期待している。研究者にとっては、この報奨金は感謝のしるしと見なすこともできる。そのほかの人々については、報奨金があることで、新しい人々が、報奨金がない場合とは違う形で参加することが促されることを、われわれは望んでいる」（Evans氏）