logo

「Google Chrome」のバグ報奨金プログラム--金額の妥当性に疑問符も - (page 2)

文:Elinor Mills(CNET News) 翻訳校正:川村インターナショナル2010年02月24日 07時30分
  • このエントリーをはてなブックマークに追加

 CigitalのCTOでセキュアなコード記述プロセスの専門家でもあるGary McGraw氏は、次のように述べた。「一般の人が安い報酬でテストをしてくれることを期待するよりも、プロのQA(品質保証)専門家と侵入テストの専門家にお金を払う方が、おそらく良いだろう。わたしの知っている優秀なプロのテスターは、誰もそのような報奨金に魅力を感じないだろう。若者は、ビール(あるいは『Red Bull』とウォッカ)を買うお金のためにテストをするかもしれないが」

 Miller氏がほぼ1年前に「No More Free Bugs」と呼ばれる運動を立ち上げたことを考えると、同氏の批判は特に辛辣かもしれない。ベンダーは、自社の商用ソフトウェアの脆弱性を外部の研究者が発見したとき、結果的にその製品のセキュリティを向上させることになるボランティアバグハンターの努力にただ乗りするのではなく、報酬を支払うべきだとMiller氏は主張した。

 「いくつかの意味で、これはわたしの夢が実現したものだ。わたしはこうしたことをベンダーに求めてきた。そして、それが現実になった今、わたしは辛辣で批判的になっている」とMiller氏は話す。その理由は、VeriSignのiDefense Labsによる「Vulnerability Contributor Program」や3ComのTippingPoint Technologiesが運営する「Zero Day Initiative」の報奨金プログラムで研究者が得られるものと比較して、金額がはるかに低いためだという。

 「わたしがChromeのバグを発見したとすると、それをZero Day Initiativeに売って、2000ドルを得ることができるだろう。それでもバグは最終的にGoogleに報告される。だとすれば、なぜGoogleに500ドルで売ろうとするだろうか。それでは意味がない」(Miller氏)

 Zero Day Initiativeを運営するPedram Amini氏は、同プログラムがバグに支払う正確な金額は明かさなかったが、「平均でGoogleの提示額の10倍以上」であることは認めた。

 「Googleは、バグに対する報奨金を始めた最初の巨大企業だ。同社がそれに着手したことをうれしく思う。正しい方向への一歩だ。しかし、金額に関して言えば、Googleはほかのバグ報奨金プログラムと張り合っていくことはできないだろう」(Amini氏)

明るい面

 確かに、Zero Day Initiativeが注力している一般向けにリリース済みの製品と比べると、ベータ版ソフトウェアの方がバグを見つけるのが簡単かもしれない、とAmini氏は話す。同氏はまた、Googleのブラウザは、ほかの主要ブラウザよりもはるかに新しく、ユーザー数も少ないので、Googleが研究者の関心を引くための措置を講じたことは賢明だと述べた。

CNET Japanの記事を毎朝メールでまとめ読み(無料)

-PR-企画特集

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]