パスワードを忘れた? アカウント作成
Close
9443070 story
プログラミング

「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い 23

ストーリー by hylom
とはいえ正規雇用が不要になるわけではなく 部門より
taraiok 曰く、

カリフォルニア大学バークレー校の研究者によれば、ソフトウェアのバグを発見するために、独立したセキュリティ研究者などに対して報奨金を支払う方法は、同じ仕事をするために従業員を雇うよりもはるかに効率的なのだそうだ(ITWorld本家/.)。

過去3年間にバグ報奨金プログラムを通じて、数百人のフリーのプログラマがChromeとFirefoxブラウザの脆弱性修正に協力した。バグ報奨金プログラムの支払額はGoogleが58万ドル、Mozillaが57万ドルになったという。一方、開発者を北米で正規雇用すると、給与に加えてその約50%のオーバーヘッドが発生、年間平均10万ドルの費用がかかるという。さらに記事ではバグ報奨金プログラムの参加者のほうが、雇用した開発者よりも多くのバグを見つけ出したとしている。

GoogleとMozillaでは、同じバグ報奨金プログラムでも内容が異なる。Mozillaでは、内容にかかわらず報酬を支払う方式だが、Googleは発見した内容に応じて報奨金の金額が上下する仕組みだ。Google方式の場合、内容を判定する管理者の裁定が必要であるため、運営の難しさがあるが、Googleの報奨金プログラムは、Mozillaとほぼ同じコストでありながらも多くのバグの発見につながり、また研究者の再参加率も高いという。

ちなみに、Adobe SystemsやOracleはこうした報奨金プログラムを採用していない。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い More

  • そりゃあさ… (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2013年07月12日 17時00分 (#2420361)

    従業員50人に探させたら50人ぶん給料払わないといけないけど、報奨金なら見つけた一人に払うだけだしね。

    • Re: (スコア:0)

      by Anonymous Coward
      そういえばGoogleに関しては審査している人の給料も加味してるんだろうか?

    • Re: (スコア:0)

      by Anonymous Coward

      50人が同じバグを報告してきたらどうすんの

  • 逆だろ? (スコア:4, すばらしい洞察)

    by Anonymous Coward on 2013年07月12日 18時52分 (#2420427)

    自社で抱えた技術者で最低限の品質を確保した後の、無茶苦茶費用対効果が悪そうな脆弱性の確認を放り投げる手段が「懸賞」。
    それにより時間効率の無茶苦茶悪い仕事から自社のリソースを解放できるのが利点。
    ゲームメーカーがテスターを別枠で雇う様な物だよ。

  • ちゃんと脆弱性が発見できて修正できればどーでもいい。

    外部研究者がタレこんでもどうしようもない場合はレポートを売るという手があると思うけどどうなんだろうね。
    一番やばいのは「レポート買ってくれないから黒い人に売っちゃった~」だろう。

    • Re: (スコア:0)

      by Anonymous Coward

      どうでもいいクンいつもお疲れ様です
      # /.J AC名鑑とか作れそうだ

  • わざとバグを作られたらどうするの? (スコア:1)

    by Anonymous Coward on 2013年07月12日 17時09分 (#2420372)

    報奨金を出すのはいいけどさ。
    問題点もあるんじゃ?

    • Re: (スコア:0)

      by Anonymous Coward

      あなたは謎の人物から送られたパッチをmainlineにそのままマージするのですか…

    • Re: (スコア:0)

      by Anonymous Coward

      バグの発見であって、修正パッチまで作れってプログラムではないよね?

      • Re: (スコア:0)

        by Anonymous Coward
        バグを見つけるだけでバグを直してくれない人や、バグを見つけることすらしないソフトウェアなぜに人はデバッガーと呼ぶのだろう。

        • Re: (スコア:0)

          by Anonymous Coward

          日本語でお願いします

    • Re: (スコア:0)

      by Anonymous Coward

      報奨金目当てにバグを仕込んでそれを報告して稼ぐってのは難しいんじゃないかなぁ。
      すぐにバレる気が。

  • いっぽう日本では (スコア:1)

    by Anonymous Coward on 2013年07月13日 11時30分 (#2420765)

    脆弱性を発見し公表すると逮捕されます

  • Adobeはねぇ (スコア:0)

    by Anonymous Coward on 2013年07月12日 17時07分 (#2420370)

    DTPに関しては印刷会社やユーザーという文字通りの人柱が大勢参加してるからなー。しかも大金払って。
    費用対効果が高いどころか収益プラスですよ!すごいね!
    CS2とかホント酷かったのでAC。

  • 敵に渡すな大事なリモコン (スコア:0)

    by Anonymous Coward on 2013年07月12日 17時15分 (#2420376)

    開発元に伝えて報奨金をもらう“正義”か、悪用しようとする者に渡す“悪”になるか…
    結局報奨金次第だよねッ!

    ある程度コントロールが効くから正規なんじゃないの?
    成果だけではねえ

  • 前例? (スコア:0)

    by Anonymous Coward on 2013年07月12日 21時00分 (#2420509)

    TeX

  • 金だけじゃないんじゃないか? (スコア:0)

    by Anonymous Coward on 2013年07月13日 0時37分 (#2420619)

    バグをたくさん見つければ、名前が売れて就職に有利だろ?
    就職に成功したらもうあまりはたらくモチベーションがなくなる。
    Googleの方が担当者に審査してもらえるぶん名前を売り込めると思われてるんじゃないか?
    どのみち採用してしまえばもうあまり働かないだろうけど。

  • 信用できないgoogle (スコア:0, すばらしい洞察)

    by Anonymous Coward on 2013年07月13日 1時18分 (#2420635)

    バグ報告しても言を左右して結局払わないんじゃないの?
    広告代だって、貯まるとなんだかんだ言い訳して無効にする会社だぜ。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家