HackerOneは8月22日(米国時間)、「Don’t Believe These 4 Bug Bounty Myths|HackerOne」において、バグ報奨金プログラムで誤解されがちな点を4つ紹介した。紹介されている内容は次のとおり。

  1. バグ報奨金プログラムの結果はかならずしも公開されず、バグ報奨金プログラムの大半はプライベートで提供されている。例えば、HackerOneのプログラムの80%は招待制のバグ報奨金プログラムで、少数の専門家が招待される。こうしたプログラムはあらゆる側面がプライベートで公開されていない。ほとんどの組織はプライベートプログラムを実施し、脆弱性の処理に関するプロセスの十分なリハーサルを行い、報奨金予算を予測し、法務および営業チームに説明を行ったあとで、パブリックなバグ報奨金プログラムが実施される。

  2. バグ報奨金プログラムは年間を通じて行われていると考えられがちだが、最近は時間制限が設けられたバグ報奨金プログラムが増加している。いくつかの違いがあるが、従来の方法と比較してテストのスケジューリングがしやすくなるほか、作業効率を高めることができる。

  3. 脆弱性を発見するハッカーと仕事をするには必ず報奨金が必要になると考えるかもしれないが、そうとは限らない。Vulnerability Disclosure Program(VDP)のように、金銭的なインセンティブがない仕組みで脆弱性情報を収集しているものもある。

  4. バグ報奨金プログラムは脆弱性を発見するハッカーとソフトウェアの開発者が直接コミュニケーションを取ることを好ましく思わないと思われがちだが、そうではない。開発者は直接ハッカーとコミュニケーションを取ったほうがより効率的に作業を行うことができる。

  • Created by security leaders from Facebook、Microsoft and Google、HackerOne is the first vulnerability coordination and bug bounty platform

    Created by security leaders from Facebook, Microsoft and Google, HackerOne is the first vulnerability coordination and bug bounty platform

バグ報奨金プログラムがソフトウェアのバグや脆弱性を発見するのに効果を発揮していることが知られている。この数年間でこうした取り組みが世界中で行われるようになっている。