レドモンドが 10 番目のアクティブなバグ ハンティングの報奨制度である Azure DevOps Bounty Program を発表したことにより、Microsoft コードのバグ ハンティングからさらに多くの収益が得られるようになるでしょう。
以前はVisual Studio Team Servicesとして知られていた新しいAzure DevOps Servicesは、開発者にクラウドでの共同コーディングと自動化を提供します。バグ報奨金プログラムは、Azure DevOps ServerやTeam Foundation Serverなどのオンプレミス製品も対象としています。
Azure DevOpsのエンジニアリングディレクターであるバック・ホッジス氏はブログ投稿で、このプログラムはコードレビュー、セキュリティスキャン、レッドチームテストなどの既存のセキュリティ対策を補完するものだと述べた。
「当社のバウンティプログラムは、欠陥を発見し、責任を持って報告してくれた独立したセキュリティ研究者に報奨金を提供するものです」と彼は述べた。「これらのセキュリティ問題を報告してくれた研究者を公に表彰し、深刻度の高いバグには最大2万ドルの報奨金を支払います。」
バグバウンティプログラムの急増は、こうしたコンテストを運営するHackerOneの調査によると明らかだ。同社は2018年の「Hacker-Powered Security Report」の中で、バグバウンティプログラムが北米で38%、アジアで37%、欧州・中東・アフリカで26%、ラテンアメリカで143%増加したと報告している。
2012年の同社の設立以来、HackerOneのレポートが発表された2018年6月までに、組織はハッカーに3,100万ドル以上の報奨金を支払っており、その3分の1はレポート発表前の12か月間で支払われたことになる。
これはかなりの金額のように聞こえるかもしれないが、セキュリティ企業の Trail of Bits は最近、少数の高度なスキルを持つ研究者が大部分のお金を集めている一方で、大多数のバグハンターが集めているお金はごくわずかであると警告した。
バグを見つけて「露出報酬」を獲得しましょう
英国を拠点とするセキュリティ研究者のショーン・ローズナー氏は最近、ハッカーにVIPプログラムに参加する前に無償で作業するよう求める報奨金プログラムがより一般的になり、より搾取的になっている現在、バグハンターが直面している問題について書いている。
虫の報奨金で儲けたい?ゴキブリ駆除で生計を立てた方がマシ
続きを読む
彼は、こうしたバグ報奨金プログラムは過大評価され、持続不可能だと述べ、この分野が報奨金ハンター志望者で溢れかえっていることを嘆く。「これをフルタイムで行うことはお勧めしません。バグ報奨金は、あくまで趣味程度にとどめておくべきだと思います」と述べ、Trail of Bitsが提起した懸念に同調した。
一方で、バグバウンティハンターの年収中央値は34,255ドルとそれほど高くないものの、少数ながら熟練したセキュリティ研究者はかなりの収入を得ています。バージニア州リッチモンドに拠点を置くセキュリティ専門家のトミー・デヴォス氏は、昨年、自身が参加している様々なプラットフォームで約50万ドルを稼いだと推定しています。
「私はバグ報奨金プログラムが大好きで、数え切れないほど多くの企業のシステムのセキュリティ確保に貢献しているので、このプログラムには大きな価値があると考えています」とデボス氏はThe Registerへの電子メールで述べた。
「数十億ドル規模の企業が、大衆向けには無償のプログラム、少数のグループ向けにはプライベートなプログラムを運営している現状に、私は全く賛同できません。まるで、彼らの時間には報酬が支払われる価値があるのに、他の人には支払われない、と言っているようなものです。」®
