Facebookのバグ発見報奨金プログラム、報告数が前年比246％増

　Facebookがセキュリティ研究サービスに関する統計データを発表した。そのデータを見る限り、同社のバグ発見報奨金プログラムに対する関心は2013年も衰える気配を見せていない。

　まず、Facebookが2013年に受理したバグ報告の数は1万4763件にのぼっており、前年比で246％の大幅増となっている。

　同社がバグ発見報奨金プログラムを導入したのは2011年のことだ。

ザッカーバーグ氏のページに投稿し規約違反となったバグ発見者に1万ドル集まる

　バグを報告する際の指針は同社のFacebookページに詳しく記載されている。

　報奨金の最低額は500ドルであり、最高額、すなわち上限は設けられていない。

　Facebookは「それぞれのバグに対して、その深刻度や（報告の）独創性に基づいた額の報奨金が支払われる」としている。ただし、支払われる報奨金、すなわち金銭的な謝礼は発見されたバグ1つにつき1件のみとなっている。

　しかし報奨金の獲得は、2013年の結果を見れば分かるように、必ずしも簡単ではない。1万4763件というバグ報告のうち、有効であり、金銭の支払いに値すると判断されたのは687件にすぎなかった。

　FacebookのセキュリティエンジニアであるCollin Greene氏は米国時間4月3日付けの投稿で、報告されたバグのほとんどは「中核ではない資産」、すなわちFacebookの買収した企業が所有、運営しているウェブサイトにあったものだと述べている。

　Greene氏によると、報奨金の支払いに値すると判断されたバグのうち、深刻度が高いとされたのはわずか6％だったという。

　われわれが2013年に受理した1万5000件近いバグ報告はセキュリティエンジニアによって1つ残らず、個別に審査されたが、われわれのチームの規模はまだ小さなものとなっている（チームに加わりたい方は、https://www.facebook.com/careers/department?dept=engineering&req=a0IA0000006cQbeMAEにアクセスしてほしい）。ほとんどのバグ報告は最終的に有効ではないと判断されるものの、われわれは審査が完了するまでは有効なものだと捉えている。こうした姿勢を貫くことで、優先度の高い問題を迅速にトリアージし、適切なリソースを即座に振り向けられるようになる。先に述べたように、われわれは深刻度の高い問題に対応するまでの時間を中央値で6時間にまで減らすことに成功しており、このプログラムの成長にあわせて引き続き効率性を重視していくつもりだ。またわれわれは、必要に応じて静的解析やその他の自動化されたツールを用いて、エンジニアらが過ちを繰り返さないように支援している。

　総合的に見ると、Facebookは2013年、世界各地の330人の研究者に対しておよそ150万ドルを支払っており、報奨金の平均額は2204ドルとなっている。

　結果を国別に見ると、ロシアがトップの座に就いており、38件のバグ報告で平均3961ドルの報奨金を受け取っている。米国は92件のバグ報告が報奨金の対象と判断されたものの、その平均額は約2272ドルとなっている。インド、ブラジル、英国もトップ5入りを果たしている。