先駆者に聞く、「バグ報奨金制度」のメリットと課題

先駆者に聞く、「バグ報奨金制度」のメリットと課題：セキュリティ・アディッショナルタイム（15）（1/3 ページ） 日本国内でも幾つかの企業が採用し始めている「脆弱性報奨金制度」（バグバウンティプログラム）。果たしてどれだけの効果があるのか。また課題は？ 実際に制度を運営する3社に聞いた。 コードのバグはゼロにできない。従って、脆弱（ぜいじゃく）性をゼロにすることもまた不可能だ。設計や実装、各フェーズで脆弱性を作り込まないよう留意し、脆弱性検査を行って修正するというプロセスを繰り返し、できる限り減らすことはできても、「ゼロ」にするのは難しい。その中で、どうすれば、より安全でより良いサービスを実現できるだろうか――その解を模索する企業の間で広がり始めているのが、「脆弱性報奨金制度」だ。 脆弱性報奨金制度は、「バグバウンティプログラム」とも呼ばれる。外部のリサーチャーに自社サービスの脆弱性を報告

[koemu]

「私が一番相談したのは経理の人」

[kamei_rio]

公平性と透明性の確保、報告者のモチベーション維持、これはこれで大変だろうなー

[deep_one]

『制度開始から3年を経て「報告される件数や支払う報奨金の額が下がってきているので、そろそろ金額や、報告者のモチベーションを上げる取り組みをしなければならないと考えています」』めぼしいバグは潰れていると