アカウント名:
パスワード:
報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。
もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。
ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。
余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。
私が元コメントで指摘したのは、まさにおっしゃるように「セキュリティを金にすることの限界」についてです。要するに、セキュリティホールを見つけることに対する金以外の何か別のものを用意するべきではないかな、ということです。何が適切かはわかりませんが、セキュリティを研究してる人間が、犯罪組織に売るんではなく、Mozillaのバグ出しに協力してやろうと思うような何かです。
まあ、恐らくそんなことは繰り返し指摘されてきたことなのでしょうが。Mozillaのセキュリティ対策のやり方について詳しくしらないので、もし見当違いのこと言ってたらすみません。
それがハッキングチャレンジなんじゃないの?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日本発のオープンソースソフトウェアは42件 -- ある官僚
報奨金 (スコア:1)
報奨金を増額することで、バグを見つけるためのモチベーションは一時的には上がると思いますが、問題もあると思います。
報奨金だけが目当てになると、バグ発見者は「より高く売れるところで利用しよう」と考えるようになるからです。
もちろん、労力に見合った報奨金は必須ですが、それだけでは限界があるでしょう。
たとえば、Mozilla公認のセキュリティアドバイザー的な認定をして、その人が指摘したバグ対応の優先順位をあげるとか、そういうなにかが欲しいところです。
Re: (スコア:2)
ん? 限界の指摘がよくわからないのですが。Firefoxの開発が全て順調と言うつもりはありませんが、今回発見された脆弱性はきっちり潰しています。優先度の設定も開発力も問題ないと言えるのでは。
報奨金というか金目当てだけになることによって、こういった白い場ではなく、黒い市場で売りさばかれているってのは数年前から指摘されていますね。Zero Day Attackが横行する背景でもあり、セキュリティを金にすることの限界でもあります。
余談ですが、セキュリティ界隈もいろいろ悩ましいことになっているらしいです。Full Disclosureの終了についてはなるほどと思わされました。
Re: (スコア:0)
私が元コメントで指摘したのは、まさにおっしゃるように「セキュリティを金にすることの限界」についてです。
要するに、セキュリティホールを見つけることに対する金以外の何か別のものを用意するべきではないかな、ということです。
何が適切かはわかりませんが、セキュリティを研究してる人間が、犯罪組織に売るんではなく、Mozillaのバグ出しに協力してやろうと思うような何かです。
まあ、恐らくそんなことは繰り返し指摘されてきたことなのでしょうが。
Mozillaのセキュリティ対策のやり方について詳しくしらないので、もし見当違いのこと言ってたらすみません。
Re:報奨金 (スコア:0)
それがハッキングチャレンジなんじゃないの?