グーグルは2日、ユーザーがオンラインで使用するソフトウェアのセキュリティを向上させるため、プログラマーに500ドルから3,133.70ドルを支払ってソフトウェアをアップデートさせ、ユーザーに広く利用されているオープンソースソフトウェアを攻撃されにくくすると発表。
Chrome RewardsとVulnerability Rewardsの2つのプログラムにより、Googleはブラウザやオンラインサービスの脆弱性を発見した人に報酬を与える2つの方法を提供しています。
グーグルによれば、脆弱性の多くは、防ぐことのできるコーディング・エラーに起因するものであり、また、単純な緩和手法がないために容易に悪用される可能性があるとのことです。グーグルは、この問題にある程度対処できることを期待しています。
脆弱性ボーナスは、自社のサービスやソフトウェアをより安全に保護する方法を探している大手IT企業や、類似企業との競争に対抗するために、ますます人気が高まっています。
8月、グーグルは脆弱性報奨金を5回にわたって支払い、これまでに総額200万ドルもの報奨金を支払っています。また、今週、マイクロソフトは、深刻なセキュリティ問題を発見したセキュリティ研究者、ジェームズ・フォーショーに10万ドルの報奨金を支払ったばかりです。
Googleのセキュリティチームのメンバーで、パッチ報奨金申請の審査を担当するMichael Zalewski氏によると、Googleはパッチ報奨金プログラムの更新のために、既存のパッチ報奨金を他のオープンソースソフトウェアプロジェクトに拡大することを断念したとのことです。
グーグルによると、同社はセキュリティを向上させたプログラマーに報酬を与えますが、すべての報酬はソフトウェアのメンテナによる審査が必要です。提出されたパッチを受け入れるかどうかを決めるのはメンテナであり、同社はプロジェクト・マネジャーの決定に口を挟むことはありません。