ニュース 2021.07.29 GitHub、7年目をむかえた「セキュリティバグ報奨金プログラム」の支払い総額

2020年2月から2021年2月のバグ報告件数は、過去最多で1066件。そのうち、GitHub製品やサービスに見つかった203件の脆弱性に対して報奨金が支払われ、支払い総額は、52万4250ドル（約5700万円）となった。

受けとったバグ報告は、平均24時間以内に社内で検証し、重要性や緊急度を見極めるトリアージを行って、パートナーチームに渡されたとし、また、報奨金支払い対象となる報告には、平均24日後に支払いが行われたという。

GitHubのバグ報奨金プログラムは、同日、7周年を迎えた。今後も同プログラムを充実させていくとして、6月、バグ報告対応の新たなチームも発足させている。

バグ報奨金支払総額について、米Googleは、2月に2020年の支払い総額は670万ドル（約7億600万円）以上だったことを発表。米Microsoftは、7月8日（米国時間）、2020年7月1日から2021年6月30日の1年間で、1360万ドル（約15億円）支払ったことを報告した。

報奨金を受け取ったリサーチャーは、Googleが662人、Microsoftについては、341人が対象となっている。

各社とも、毎年新たな独自のプログラムも展開し、ホワイトハッカーと企業の連携を強めている。セキュリティ研究者たちは、このプログラムに参加することで、報奨金を得られる以外に、実績づくりにチャレンジすることも可能だ。

日本企業でも、バグバウンティと呼ばれる、バグ報奨金プログラムを取り入れる企業は増えている。研究者、開発者として実績を積みたい人には、生きたプログラムに接することができる好機ともいえるだろう。

【関連リンク】

・GitHubのバグ発見報奨金、2020年の支払額は約5700万円　報告件数は過去最多（ITmedia）
https://www.itmedia.co.jp/news/articles/2107/16/news113.html

TEXT：セキュリティ通信 編集部
PHOTO：iStock