Mozillaが先頃、バグ報奨金を500米ドルから3000米ドルに引き上げた。

  以下は、このトピックに関するいくつかの考えだ:

  部外者によるバグや脆弱性の報告に支払いを行うというコンセプトは、Mozillaのプログラムが最初に開始した2004年以前でさえ論争の的だったが(バックグラウンドについては「No More Free Bugs」「Bug Bounty Program Answers Critics」および「Bug Finders: Should They Be Paid?」を参照)、6年たっても、賛否両論はそれほど変化したようには見えない。

  しかし他方で、変わったものもあり、すべての思惑に影響を及ぼす可能性がある。

  一つには、(オンラインの)世界はより大きく、よりフラットになっている。ここ2、3年、米国および西欧以外の国で、コンピュータユーザの数が爆発的に増えている。

  一般に、ユーザが多くなれば欠陥を見つける目も多くなる。そして発展途上国ではテクニカルな能力は通常低いが、関係する人数が圧倒的に多いことが、そうした不利を帳消しにできるかもしれない。数年後に我々は、より多くの「アマチュア」リサーチャが、報償の得られるバグハンティングに関与するのを目撃することになるかもしれない。

  また、発展途上国のユーザの方が技術的知識に乏しいという前提は、過去2、3年に報告されたさまざまな攻撃からすれば、全く正しいとは言えなくなるかもしれないし、まもなく消滅するかもしれない。より役立つ行動にその実力を向ける方法を提供することは、悪いことではないかもしれない。

  そして3000ドルは、米国、あるいはアンダーグラウンドでは、それほど大きな報償では無いが、他の、それほど豊ではない国々では、現在もかなりの額だ。そのため、余分の金を求めている週末のテクノロジー戦士達にやりがいを与える可能性があるだろう。彼らにとって、Mozillaが提供するようなバグ報奨金は、例えば以下のような利点が感じられるかもしれない:

  •  迅速で容易な報酬
  •  地理的に制限されない
  •  合法性

  バグ報奨金プログラムの有用性についての議論は、大部分のセキュリティ専門家が、とりあえずMozillaの試みの成り行きを見守っているため、すぐには終わりそうもない。

  しかし、コンピューティングの世界で大規模でめまぐるしい変化が起きていることを考えると、これらのプログラムがここ数年で進化し、大部分のソフトウェアベンダと、ボランティアリサーチャの双方にとって発展性のある形式を採用するという可能性も、非常にあり得ることだ。

  あなたのご意見は