バグバウンティでより良いソフトウェアエコシステムへ
CNCF(Cloud Native Computing Foundation)は、1月14日、Kubernetesの初めてのバグ報奨金事業(バグバウンティ)を発表しました。
Kubernetesについては、すでにご存じの方も多いと思いますが、Googleが開発したコンテナオーケストレーションツールです。
このバグ報奨金事業は、CNCF、Google及びHackerOneが共同で運営し、賞金は100ドルから最高10,000ドルまでとなっています。
このバグバウンディが立ち上がったことでKubernetesのセキュリティ問題の洗い出しとバグ発見活動に財政的支援が加わり、バグの検出という重要な仕事を行っている技術者に報いることができるようになります。
HackerOneによるエコシステム
ちなみにこのHackerOneという会社はFacebook、マイクロソフト、Googleでバグバウンティと脆弱性の公開を拡大させてきた専門家によってつくられたプラットフォームを構築しており、現在では20万人もの様々なスキルや専門領域を持ったハッカーが登録されています。
バグバウンティ
バグバウンティとは、企業が自社製品やサービスに内在するセキュリティ上の脆弱性を外部の専門家にチェックしてもらい報奨金を支払う仕組みです。
1995年にブラウザを開発していたNetScape社によって、始められたと言われていますが、
その当時は、ノベルティが景品として送られていた程度で、この制度を採用する企業も少なく、普及し始めたのは、最近のことです。
前述のHackerOneが2019年12月に公表したレポート「The Hacker-Powered Security Report 2019」によると2018年5月から2019年4月までの1年間で12万件もの脆弱性が報告され、支払われた報奨金も6,200万ドルを超えたそうです。
EUもバグバウンティを開始
2019年1月にEUが著名な15のOSSを対象としてバグ報奨金プログラムを開始すると発表しました。
これは、2014年に発生したOpenSSLで発見された「Heartbleed」と呼ばれる脆弱性を狙った攻撃がこの取り組みの発端になったようで、
すでに社会基盤として重要な地位を占めていたOSSの脆弱性を減らし、社会基盤の安定性を向上させることを狙っているようです。
報奨金はバグの深刻度とソフトウェアの相対的な重要度によって、決定されるようです。
バグバウンティはこれからの広がりが重要
OSSに限らず、商用製品やサービスでの脆弱性を早期に発見し、対策していくことで、社会問題化する前に対策することができるようになります。
しかしながら、まだまだ一般的と言えないこの制度が今後どれくらい広がっていくかが大きな問題であるといえるかも知れません。
(*2)本文中記載の会社名、商品名、ロゴは各社の商標、または登録商標です。
