Appleは2019年にバグ報奨金プログラムの大幅な拡大を発表し、研究者への報奨金の増額、Macサポート、開発者専用デバイスなどを提供しました。2年後、Appleは刷新されたバグ報奨金プログラムを「大成功」と評していますが、ワシントン・ポスト紙の報道によると、セキュリティ研究者はこのプログラムに「うんざり」しているとのこと。
このレポートには、iOSソフトウェアエンジニアのティアン・チャン氏による注目すべき話が掲載されています。彼はAppleに複数のバグを報告したにもかかわらず、報酬を一度も受け取っていないと主張しています。実際、チャン氏はApple Developer Programから排除されたと述べています。
iOSソフトウェアエンジニアのティアン・チャン氏は、2017年に初めてAppleにバグを報告しました。Appleがバグを修正するのを何ヶ月も待った後、チャン氏は我慢できなくなり、発見したバグについてブログに投稿することにしました。2度目にセキュリティ上の欠陥を報告した際、Appleはバグを修正したものの、チャン氏の報告は無視されたとチャン氏は言います。7月、チャン氏は報奨金の対象になると主張する別のバグをAppleに報告しました。ソフトウェアはすぐに修正されましたが、チャン氏は報奨金を受け取ることができませんでした。その代わりに、彼はApple Developer Programから除外されました。App Storeにアプリを提出するには、このプログラムへのメンバーシップが必要です。Appleはチャン氏の主張についてコメントしていません。
ワシントン・ポスト紙の報道には、 Appleの支払いが完了するまでに時間がかかりすぎると指摘する研究者や、FacebookやMicrosoftといった競合他社の方がより優れたバグ報奨金プログラムを運営していると主張する研究者など、類似の事例がいくつか引用されている。Google(2020年は670万ドル)とMicrosoft(1360万ドル)も、Apple(370万ドル)よりも多くの金額を支払っている。
このレポートではまた、匿名の情報源を引用して、Apple には「未修正のバグが大量に残っている」と指摘している。
しかし、報奨金の額だけが成功の要因ではありません。優れたプログラムは、ハッカーと企業間のオープンな対話をサポートします。報奨金プログラムにバグを提出したセキュリティ研究者や、秘密保持契約により匿名を条件に話を聞いた元従業員によると、口封じで知られるAppleは、バグに対して報奨金を支払う、あるいは支払わない理由に関するコミュニケーションやフィードバックを制限しているとのことです。
元従業員と現従業員によると、Appleには未修正のバグが大量に残っているという。この2人も秘密保持契約により匿名を条件に話した。
Appleのセキュリティエンジニアリングおよびアーキテクチャ責任者であるイヴァン・クルスティッチ氏は声明の中で、バグ報奨金プログラムはこれまでのところ「大成功」しており、Appleは「プログラムの拡大」に尽力していると述べた。
「Appleのセキュリティ報奨金プログラムは大成功を収めています」と、Appleのセキュリティエンジニアリング&アーキテクチャ責任者であるイヴァン・クルスティッチ氏は電子メールでの声明で述べた。Appleは今年、バグ発見報奨金として支払った金額を昨年比でほぼ倍増させており、報奨金1件あたりの平均支払額では業界をリードしているとクルスティッチ氏は述べた。
「私たちは、劇的な成長を続けるこのプログラムの規模拡大に懸命に取り組んでおり、世界中の10億台を超えるAppleデバイス上のユーザーとそのデータを保護するために私たちと並んで働いているセキュリティ研究者に、引き続き最高の報酬を提供していきます」と彼は付け加えた。
本日の報道で一つ気になるのは、Appleが今年、「バグ報奨金プログラムの改革」を目的に「新たなリーダー」を雇用したという点だ。報道によると、この人物はKrstić氏の部下だという。しかし、Appleはそれ以上の詳細は明らかにしていない。
ワシントンポスト紙の完全なレポートは一読する価値があり、こちらからご覧いただけます。
yacuten.com を Google ニュース フィードに追加します。
FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。
