GitHubは2018年に25万ドルを支払った後、バグ報奨金のボーナスを増やす予定だ
トム・クレイジット著
バグ報奨金制度は、エンタープライズテクノロジー企業のセキュリティに対する考え方を変えてきましたが、Microsoft の傘下になった今、GitHub はそのプログラムをアップグレードしています。
GitHubは火曜日に、GitHubのコードにバグを発見したセキュリティ研究者が、より高額な報奨金を受けられるようになると発表した。また、重大なバグを発見した場合でも、報奨金の上限額が制限されることはなくなる。ソフトウェア開発ポータルであるGitHubは、このプログラムの対象範囲をGitHub EducationやGitHub Enterprise Cloudなど、GitHub傘下のあらゆる「ファーストパーティサービス」に拡大する。
大手テクノロジー企業がバグバウンティ(バグ報奨金制度)の導入をますます進めています。これは、企業がハッカーに報酬を支払い、自社のソフトウェアのセキュリティホールを発見・詳細に報告してもらう制度です。バグが適切に特定され、責任ある方法で開示されれば、バグバウンティは非常に大きな利益をもたらす可能性があります。HackerOneによると、近年、こうしたプログラムの人気が高まるにつれ、セキュリティ研究者には3,100万ドルが支払われており、GitHubは2018年に責任あるハッカーに25万ドルを支払いました。
GitHubは現在、「重大」と判断されたセキュリティ上の欠陥に対して2万ドルから3万ドルの報奨金を支払う予定であり、より低レベルのバグの発見に対しても報奨金を増額する予定です。また、セキュリティ上の欠陥を報告する研究者に対する法的保護を拡大し、バグの報告を容易にするとともに、バグ発見者への対応時間を短縮する計画です。
Microsoft独自のバグ報奨金プログラムでは、WindowsやHyper-Vなどの重要なソフトウェア製品の脆弱性に対し、最大25万ドルの報奨金が支払われます。GitHubのプログラムに関する詳細は、こちらをご覧ください。
