Federacyが目指す、スタートアップでも使えるバグ報奨金プログラム

Y Combinator Summer 2018クラスのメンバーであるFederacyは、とても小さなスタートアップでも、バグ報奨金プログラム(見つけたバグによって謝礼を支払う制度)を利用できるようにすることが使命だと考えている。

従来からあるBugcrowdやHackerOneなどが提供するバグ報奨金プログラムは、より大きな組織向けに提供されてきた。それはそれで意義のあるものだったが、双子であるWilliamとJames Sulinskiの2人は、市場にはギャップがあることを感じていた。すなわちそうしたサービスが重要な意味を持つ小規模な組織が閉め出されていることだ。彼らはバグ報奨金プログラムをつくり、外部のリサーチャーたちを知らずともプログラムに簡単にアクセスできるようにしたいと考えた。それがFederacy誕生の動機だ。

「プラットフォームを自由に設定できるようにして、驚くほどシンプルにすることで、最もリソースの厳しいスタートアップに対しても、価値を引き出す上で最大のインパクトを生み出すことができると考えています。そうすることで、現在はBugcrowdやHackerOneなどを介して、数百社程度の会社が採用しているだけの報奨金プログラムを、将来的には100万以上の会社が採用できるものへと広げたいと思っています」と、William SulinskiはTechCrunchに語った。

これは野心的な長期目標だが、現時点ではまだ着手した段階に過ぎない。実際兄弟は、2、3ヵ月前にY Combinatorに参加したときから、プラットフォームの構築を始めたばかりだ。一度動く製品を作ったあと、彼らは仲間たちを使い、知識のある友人たちをセキュリティ研究者と見立てて、テストを始めた。

彼らは先週初めて、Hacker News上でサービスを公開し、すでに120件以上の登録があったことを報告している。彼らの目標は、年末までに1000件の登録を集めることだ。そうなれば数の上で最大のバグ報奨金プラットフォームになると、Williamsは言う。

スクリーンショット提供:Federacy

現時点では、彼らはプラットフォームに参加する全てのリサーチャーを審査しているところだ。もちろんこのアプローチを永遠に続けることはできないと認識しているものの、少なくともプラットフォームを構築している初期段階では。彼らはアクセスに対するコントロールを手にしていたいと考えている。彼らは、リサーチャーたちがエコシステムにもたらす価値を認識しており、特に注意を払う予定だ。

「リサーチャーたちを尊敬し注意深く扱うことは本当に大切です。こうした人たちは信じられないほどスマートで貴重ですが、しばしば適切な扱いを受けていません。大事なことは、彼らが報告を行ったときに、きちんと対応することなのです」Sulinskiは説明した。

スクリーンショット提供:Federacy

将来的にも、兄弟はプログラムの構築とプラットフォームの開発を続けていきたいと考えている。彼らが持っている一つのアイデアは、クライアントが特定のリサーチャーとの関係をもち、その個人と契約したい場合には、手数料を得るということだ。また各報奨金のわずかな部分を収益として得ることも計画している。

典型的なYCの参加者とは異なり、兄弟は30代半ばと少々高齢で、20年以上にわたる職業経験を身に付けている。 片割れのJamesは、2013年にTwitterが3億5,000万ドルで買収したモバイル広告プラットフォームMoPubのエンジニアリング責任者だった。それ以前には、Facebookが2010年に買収したファイル共有サイト、drop.ioのインフラストラクチャの構築を手伝っていたこともある。Williamの方は、AccelGolfとPistol LakeのCEO、そしてSharehololicの創業メンバー兼プロジェクトリーダーを務めた。

幅広い経験を持ってはいたものの、兄弟はY Combinatorが彼らに提供した実用的なアドバイスに価値を見出し、その鼓舞する雰囲気に気が付いた。「先人たちが、このプログラムの中で作り上げてきた。素晴らしいものたちに対して、畏敬の念を抱かずにいることは難しいことです」とWilliamは語った。

[原文へ]
(翻訳:sako)

画像クレジット:Matt Anderson Photography / Getty Images

任天堂が3DSバグ報奨金プログラムを開始、最高賞金は2万ドル

3ds

ということで、あなたはポケモン・サンをプレイするために任天堂の3DSを買った…しかし既に、あなたのポケモン図鑑は完成し、あなたはアローラのあらゆる場所も探検し尽してしまった。さあ、それで?

もし技術的な背景を持っているなら、3DS自体を突き回すことを考えてもよいかも知れない。あなたのための大金がその中に埋まっているかもしれない。

というのも、任天堂がHackerOneを通してバグ報奨金プログラムを開始したからだ。3DSに想定されていないことを行わせるバグを見つければ、任天堂は100ドルから2万ドルまでの報奨金を支払う。

任天堂は、排除したいと思うものの種類に対してかなりオープンだ。以下にそれらを直接引用しよう:

以下に示す物は任天堂が防ぐことに焦点を当てている活動の種類の例です:

海賊行為(著作権侵害行為)、例えば:
– ゲームアプリケーションのダンプ
– コピーされたゲームアプリケーションの実行

不正行為、例えば:
– ゲームアプリケーションの変更
– データ変更の保存

子供たちにとって不適切なコンテンツの普及

ほとんどのバグ報奨金プログラムと同様に、いくつかの留意点がある:支払いは任天堂に任されている、あなたはバグについて(公的にあるいは私的に)伝える最初の人物でなければならない、そして、バグについて誰にも口外しないことに同意する必要がある。

特に最後の条件には二の足を踏む人も出るかもしれない — 多くの研究者は、会社がそれを修正できた後なら、彼らのバグハンティングの詳細を発表することが大好きだからだ。だが悲しいかな、任天堂はすべてのコンソール(インターネットに接続していないものが多い)に存在するすべてのバグを必ずしも修正することができないので、物事を徹底的に守ろうとしているのだ。

私はこれに、任天堂の予行演習のようなものであるという感触を得た — このようなものが、任天堂Switchでどのように働くのかを知るための実験だ。例として、3DSの海賊行為を防止することが主要な目標の1つとして挙げられているが、その船が出港したのはずいぶん前のことだ。彼らはこのプログラムを通して未知の新しい悪用を見つけるかもしれないが、3DSが2011年に出荷を開始して以来、明るみに出てきたすべてのものに役立つわけではないだろう。

[ 原文へ ]
(翻訳:Sako)