Uberは1年のベータ検証の末、本日初のバグ・バウンティー・プログラムをHackerOneのバグ賞金プラットフォームで開催することを発表した。
バグ・バウンティー・プログラムというのは、ハッカー(ここでは「リサーチャー」と呼ばれる)がソフトウェアプラットフォームのセキュリティーに関する脆弱性を探し、見つけた人に賞金を与えるものだ。脆弱性を見つけて悪用していたかもしれない人たちをリサーチャーに変え、その労力に対して賞金を支払うプログラムだ。
Microsoft、Google、Facebookといった大手企業はこのようなプログラムを開催している。今回Uberでこのプログラムの開催を担ったCollin Greeneは、以前FacebookでHackerOneのCTO、Alex Riceと協力して、Facebookで同様のプログラムを開催するために動いていた人物だ。狭い業界だ。
Uberのプログラムにはいくつか特徴的な要素が盛り込まれている。まず1つは、ルールや支払いに関してリサーチャーに明示していることだ。Greeneは、リサーチャーやハッカーが感じるプログラムの問題点として、支払いシステムが不透明なことを挙げる。誰かがバグを発見したとしても、そのバグがどれほど重要だったかを交渉しなければならないからだ。
このプログラムでは、Uberからの賞金について明確にしているという。重要なバグには最大1万ドルを支払うという。
2つ目は、たくさんのバグを報告する忠誠心の高いリサーチャーに対しても報酬を与えるために、ロイヤリティ・プログラムを設定したことだ。「これらのアプリで実際にバグを見つけられるような、認証済みのリサーチャーは少ないのです。とても少ないので、彼らの関心を惹き付け、留めておきたいのです」とGreeneは説明する。
つまり、Uberは最良のリサーチャーのエンゲージメントを促すために、バグ探索にゲーミフィケーションの要素を持ち込んだと言える。最初のロイヤリティープログラムは5月1日にローンチし、90日間開催するという。リサーチャーがその期間内に4つのバグを見つけたのなら、5つ目以降に発見したバグに対して、ボーナス報酬を付与するという。Uberによると、ボーナス報酬はその期間内に発見された全てのバグの平均報酬の10%に値するとしている。
もう一つ、Uberは「宝の地図」と呼ぶドキュメントをリサーチャーに前もって提供するという。楽しい名前(プログラムにゲーミフィケーションの要素の一つだろう)の付いたこの地図は、バグや脆弱性を見つかりそうな場所といった貴重な情報を提供するという。
「私たちはハッカーのように考え、コードにセキュリティーに関する脆弱性がないか確認しています。参加者は、私たちが蓄積したコードベースに関する知識とバグがありそうな部分を前もって知ることができます」とGreeneは言う。
Uberは昨年から200名のリサーチャーとベータ版を運用し、プログラムを改良してきた。今日発表した要素もその中で追加してきたものだという。HackerOneのCTO、Alex Riceは、企業がこのようにローンチ前にフィードバックを集めたのは初めてのことと話す。
「Uberも他のHackerOneのカスタマーと同じように、プライベートパイロット版を運用してきましたが、彼らのプログラムは特徴的で、プログラムを最も効果的にするためにハッカーからフィードバックを得ることに注力していました。その後は、私たちHackerOneと協力し、ロイヤリティープログラムを運営するために必要な機能を制作しました」とRiceはTechCrunchに話す。
Uberがバウンティー・プログラムの参加者から得た情報を元にコードの穴を塞ぐにつれ、バグを見つけるのがどんどん難しくなるだろう。その場合も難易度に応じて支払い額も増額し、誰もが喜べるようプログラムになるだろう。ハッカーは費やした労力で賞金を得ることができ、Uberはより安全なプラットフォームを構築できるということだ。
[原文へ]