パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Pwn2Own 2014で攻略された回数が最も多かったWebブラウザーはFirefox」記事へのコメント

  • by Anonymous Coward

    報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。
    報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。

    もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。
    たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。

    • ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。
      報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。

      余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。

      • by Anonymous Coward

        私が元コメントで指摘したのは、まさにおっしゃるように「セキュリティを金にすることの限界」についてです。
        要するに、セキュリティホールを見つけることに対する金以外の何か別のものを用意するべきではないかな、ということです。
        何が適切かはわかりませんが、セキュリティを研究してる人間が、犯罪組織に売るんではなく、Mozillaのバグ出しに協力してやろうと思うような何かです。

        まあ、恐らくそんなことは繰り返し指摘されてきたことなのでしょうが。
        Mozillaのセキュリティ対策のやり方について詳しくしらないので、もし見当違いのこと言ってたらすみません。

日本発のオープンソースソフトウェアは42件 -- ある官僚

処理中...