Google、バグ発見者達に総額4000ドル以上の報奨金を支払う 34
ストーリー by hylom
賞金稼ぎが狙ってる 部門より
賞金稼ぎが狙ってる 部門より
eggy 曰く、
GoogleはGoogle Chromeのバグを発見した人に対して報奨金を支払う「Bug Bounty Program」を行っており、これにより脆弱性改善が本格化しているらしい。実際、Chrome 6.0のリリースからたった2週間後のリリースとなるChrome 6.0.472.59では14ものセキュリティー問題が修正されている。Googleがバグ発見者達に支払った総額は4,337米ドルにものぼるそうだ(本家/.)。
また、新たに10の修正課題が提示されているが、そのうちの7個は問題の深刻レベルが高いとのこと。さすがに上限の1,337米ドルのものはないが、報酬額1,000米ドルクラスの深刻なバグがリストアップされている。
Google Chromeはまさしく「進化をやめない」ブラウザだ。報奨金に動く人の心理を上手く操っている。
安いなぁ。 (スコア:3, 興味深い)
多くの人がデバッグに参加してくれた上に、バグが見つからなかったら未報酬でもよくて、 見つかった場合でも軽微なら安く済ませられる。 そう考えると、上手い方法だなと思う。
実際、今まで4000ドル以上と言うけれど、その金額で人を何日雇えるのかと考えると微々たる金額。企業規模を考えるとゼロが一個足りないのではないかと思っちゃうくらい。
まぁ、この手の事に応募する人って、こういう企画が無くても探すだろうし。 お金が貰える貰えないでやる事は変わらないんだろうけど、 お金がぶら下がった事で、探して終わりだった人が報告までする人に化ける確率は上がりそうだ。
それが狙いなんだろうなぁ。
Re:安いなぁ。 (スコア:1, すばらしい洞察)
Re: (スコア:0)
マルウェア業者はマルウェア業者でIEを除く特定のブラウザの脆弱性にベンダーよりも高い値付けをしないと思うよ。
せめて有名ブラウザに共通の脆弱性だったりプラットフォーム丸ごとレベルじゃないとね。
Re: (スコア:0)
Re:安いなぁ。 (スコア:3, 興味深い)
>名誉
似たような事例で
TeX と METAFONT のバグを見つけて Knuth 教授から報奨金の小切手をもらっても
誰も換金しようとしないので Knuth 教授の腹がぜんぜん痛まない
なんていう話もありますな
総額4000ドルにものぼる (スコア:2, 参考になる)
深刻なバグで1000ドルって、高いんですかね?
djbdnsでも1000ドルですよね。
http://cr.yp.to/djbdns/guarantee.html [cr.yp.to]
Re:総額4000ドルにものぼる (スコア:4, 参考になる)
Mozilla の Firefox/Thunderbird だと深刻なバグで $3000に加えてTシャツも付いてくるので
安いっちゃ安いかも。
http://www.mozilla.org/security/bug-bounty.html [mozilla.org]
バグ発見!→それは既知のバグです (スコア:1)
重大な問題は「既知のバグです」で片付けられそうな予感・・・
known problem (スコア:3, 興味深い)
ベーターテスターとかで、まじめにバグレポート書いてあげても
そういう返事が返ってくる。
知っている割には修正に時間がかかったりするんだよな。
特許と同じように登録する仕組みを作るとか、
即時、Webで公開するとかすれば
公平になるかも知れません。
Re:known problem (スコア:3, 興味深い)
コミュニティによってはパッチ付きじゃないなら後回しも多い。
”お前にとって深刻でも、俺には関係ない”みたいな。
Re: (スコア:0)
>即時、Webで公開するとかすれば公平になるかも知れません。
オープンソースだとバグ管理システムで公開している例も多いのでは?
ただしセキュリティに関するバグについては、パッチが公開されてしばらくするまでは
あんまり大っぴらにしない方がいいかも。
Re: (スコア:0)
known problem でなおってない類のものは、
* 問題の根が深くて大規模なリファクタリングを伴うとか、
* 担当も困ってて他にやる人もいなくて need help とか、
* じゃあどうなおしたら納得するんだよと議論がまとまらないとか
この辺が主なところですね。
Re: (スコア:0)
> 知っている割には修正に時間がかかったりするんだよな。
プログラマレベル -1 - うさだBlog [rabi-en-rose.net]
> バグは「あるよ」と伝えさえすれば勝手に直ると思っています。
パッチ投げたのでもない限り、即修正は無いでしょう。
再現率100%に上げて、エラー発生から異常データ生成までの全スレッドのバックトレース追いかけてポイント特定して、他の動作に支障がない修正方法を考案する。
状況次第ですがすぐ治らないことの方が多いと思った
Re: (スコア:0)
という感じなんだよね。
それなら、さっさと直せと。
ちょっと安い! (スコア:1)
という日本人ハカーはいない……か。
Re:ちょっと安い! (スコア:1, すばらしい洞察)
ドルでもらっておいて、円安になったら円に変えればいいだけじゃ…?
許さない (スコア:1)
--bookmark-menuを消したことを私は一生許さない。
#許す前に忘れるから
自分で仕込むやつは出ないのか? (スコア:1)
Re: (スコア:0)
自分が書いたりレビューに関わったりしたコードのバグは対象外だよ。
http://blog.chromium.org/2010/01/encouraging-more-chromium-security.html [chromium.org]
Re:自分で仕込むやつは出ないのか? (スコア:1)
バグを仕込んで本人がバグを発見するんじゃなくて、友人にバグを発見してもらって山分けって話でしょ。
Google Chrome開発関係者のご応募はご遠慮下さい (スコア:0)
T/O
だ、誰か解説してくれ (スコア:0, フレームのもと)
最後のこの一行が何を言ってるのかさっぱり分からないのだが。それまでの話とどう関係するのだ?
Re: (スコア:0)
信者か社員でしょ
スラドまでこなくていいよ
Re: (スコア:0)
>最後のこの一行が何を言ってるのかさっぱり分からないのだが。それまでの話とどう関係するのだ?
俺もこの一行のキモさにはげんなりしたよ。
IEに深刻なバグがあったらMSをあほ呼ばわり。
それがChromeだと「進化をやめない(キリッ)」。いやはやそうですか。
eggy のこれまでのタレコミをみると、すがすがしいほどのアンチMS、アポー・ググル儲なのでしょうがないね。
Re: (スコア:0)
>すがすがしいほどのアンチMS、アポー・ググル儲
上記のような人達を指す用語が「中二病」ってやつですか?
Re:だ、誰か解説してくれ (スコア:1)
すごい大雑把なことを言うと
極端に偏ってると中二で
極端に偏ってるのを反対側から笑うのが高二で
その構造を笑うのが大二で
そういうことはどうでもいいとスルーするのが大人の対応ということで。
Re: (スコア:0)
もともとバグが多い人は
バグな無い人と比べてすごい進化をすることができるね!
Re: (スコア:0)
クラッカー封じ (スコア:0)
Netscape1.x の頃、NetscapeのバグをつつくCGIか何かを掲載しているサイトが注目を浴びた話がある。
サイト管理者はバグ発見者にTシャツを贈呈していた。
Netscape Communications社もこれに対抗して、バグレポートに懸賞金をかけたそうな。
ただし、「レポートの著作権は、弊社に帰属するものとします」
# 面倒なので記憶だけ。リソースがあったら突っ込んでくれ
Re:クラッカー封じ (スコア:2, おもしろおかしい)
そんなのあるのか…事実の伝達にすぎない雑報等には含まれないのかな。
「SSLトンネルを抜けるとそこは80番ポートだった。CSSを適用すると背景色が白くなった。」
みたいに情感たっぷりなバグ票書かなきゃいけないのかな。
一攫千金 (スコア:0)
秦の宰相、呂不偉が「呂氏春秋」という歴史書を宣伝する為に
歴史書の1字でも修正できたら千金を与えようと言ったそうだ。
バグも直って、セキュリティに非常に関心があるという宣伝費代わりにもなるならこの程度の費用は安い。
報奨金で動く? (スコア:0)
そもそもセキュリティ関連バグって報奨金欲しさに見つけようとするほど簡単なものなんですか。
単にお礼として「規定に従い薄謝を進呈」ぐらいじゃないですかね。
見つける事より、報告する動機を作っているのではないかと。「なんか変だなー」って思っても言わない人って多くいると思う。
金額も大分違うけど、書籍でも誤植を見つけたらお礼、とかあった気がする。
Re:Google Chromeはまさしく「進化をやめない」ブラウザだ。 (スコア:0)
進化をやめると死んじゃうんだよね。
Re: (スコア:0)
だから進化することは「ゆっくりと死ぬこと」だとも言う。
# ゆっくりしんでいってね!!!(AAry