Google、脆弱性情報に支払う賞金をさらに引き上げ 報告数の減少受け

[鈴木聖子，ITmedia]

　米Googleは8月15日、WebブラウザChromeの脆弱性情報に賞金を贈呈する制度の報酬体系を改訂し、特定の情報に1000ドル以上の「ボーナス」を上乗せすると発表した。

　同社によると、この制度に基づいてこれまでに多数の脆弱性が報告され、報告者に贈呈した賞金の総額は100万ドルを超えた。しかし最近では社外から報告されるChromeのセキュリティ問題が大幅に減ったという。これはChromeの強度が大幅に増し、バグが見つけにくくなっていることを示すと評価している。

　特別ボーナスはこうした事情を受けて導入するもので、（1）特に悪用されやすい問題、（2）コードベースの「安定エリア」のバグ、（3）Chromeにとどまらず、オープンソース製品など幅広い製品に影響を与えるバグ――の3分野について、それぞれ基本賞金額に1000ドル以上を上乗せする。

　現在の制度では、寄せられた脆弱性情報の重要度に応じて1件当たり500〜3133.70ドルの賞金を授与している。ただしこれまでにも、継続的なバグ報告や特に強い印象を与えた報告など「特別に重大な貢献」をしたとみなす研究者に対しては、1万ドル規模の賞金を贈呈してきたという。