Bug Crowd によると、バグ報奨金プログラムの運営を目指す組織は、影響力のある脆弱性レポートに対して少なくとも 1,500 ドルを支払う準備をする必要があるとのことです。
マネージドバグ報奨金プラットフォームが本日公開した文書とアンケートにより、企業は現在のセキュリティ体制、収益、スタッフをバグに対する推奨支払リストと組み合わせることができるようになります。
重大または P1 バグの価値は、組織のセキュリティ成熟度に応じて 1,500 ~ 15,000 米ドルになります。
最も安いけれども、それほどひどいわけではないバグでも、少なくとも 100 ドルから 300 ドルの価値があります。
この記者は、多肢選択式アンケートのセキュリティが欠如した限界をテストしましたが、T シャツの賞金が受け入れられる報酬として提示された箇所はありませんでした (ただし、セキュリティ向上のために自由にセキュリティホールを報告する多くの研究者は、安い報酬でもいいと言っています)。
BugCrowd の代表 Casey Ellis 氏は、適切な報酬に関する問い合わせを多数受けていると述べています。
「これらは素晴らしい質問であり、率直に言って、バグ報奨金市場が成熟するにつれて、その答えは進化し続けるだろう」とエリス氏は同社のレポート(PDF)で述べている。
「市場は進化し続けていますが、成功の鍵は変わりません。報奨金プログラムを成功させるには、適切なインセンティブで適切な研究者を引き付ける必要があります。」
Bug Crowd のアンケート。
どのマーケットプレイスでもそうですが、究極の価値証明は取引そのものにあり、このマーケットプレイスはまだ始まったばかりです。」
基本的なセキュリティを備えた組織とは、情報セキュリティを「必要悪」とみなし、最高情報セキュリティ責任者が「IT に従属する」小規模で最低限のスキルを持つセキュリティ チームを統括する組織です。
先進的な組織では、最高情報セキュリティ責任者(CISO)がCEOに報告し、取締役会とも連携しています。こうした難解な組織では、セキュリティは文書化され、正式に規定されており、「文化の一部」となっています。
しかし、ケチになっても構いません。大企業であれば、現金ではなくマイレージポイントなどを配布することはできますが、最終的には紙の配布に切り替えるべきです。
バグの重大度の評価。
バグ報奨金制度や報酬なしのバグ開示を検討している組織は、まず第一に、バグを送信できる専用の、見つけやすい電子メール アドレスを設定する必要があります。
無視された脆弱性は、Full Disclosure メーリング リストなどの場所でゼロデイとして削除される可能性が高いため、対応が重要です。®
