アカウント名:
パスワード:
報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。
もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。
ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。
余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。
バグ毎に賞金を払うより、そういう人を固定金で雇ったほうがいいんじゃ、ってことだろ
普通、開発者側でバグや脆弱性の確認はするはずだけど、それでもすり抜けるものがある。そのすり抜けたものを一般から探してもらってる。だから、バグ発見担当者を固定給で雇ったとしても何も変わらない。そりゃ、専任者を増やせばそれだけすり抜ける可能性は下がるだろうけど、それでも0にすることはできない。開発者側を増やすということはすでにやっただろうから、それをわかった上で一般から報酬で募集する方が効率的と考えたんじゃないかな。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
最初のバージョンは常に打ち捨てられる。
報奨金 (スコア:1)
報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。
報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。
もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。
たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。
Re: (スコア:2)
ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。
報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。
余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。
Re: (スコア:0)
バグ毎に賞金を払うより、そういう人を固定金で雇ったほうがいいんじゃ、ってことだろ
Re:報奨金 (スコア:0)
普通、開発者側でバグや脆弱性の確認はするはずだけど、それでもすり抜けるものがある。そのすり抜けたものを一般から探してもらってる。
だから、バグ発見担当者を固定給で雇ったとしても何も変わらない。そりゃ、専任者を増やせばそれだけすり抜ける可能性は下がるだろうけど、それでも0にすることはできない。
開発者側を増やすということはすでにやっただろうから、それをわかった上で一般から報酬で募集する方が効率的と考えたんじゃないかな。