バグ報奨金プログラムに関する4つの誤解

HackerOneは8月22日(米国時間)、「Don’t Believe These 4 Bug Bounty Myths｜HackerOne」において、バグ報奨金プログラムで誤解されがちな点を4つ紹介した。紹介されている内容は次のとおり。

バグ報奨金プログラムの結果はかならずしも公開されず、バグ報奨金プログラムの大半はプライベートで提供されている。例えば、HackerOneのプログラムの80%は招待制のバグ報奨金プログラムで、少数の専門家が招待される。こうしたプログラムはあらゆる側面がプライベートで公開されていない。ほとんどの組織はプライベートプログラムを実施し、脆弱性の処理に関するプロセスの十分なリハーサルを行い、報奨金予算を予測し、法務および営業チームに説明を行ったあとで、パブリックなバグ報奨金プログラムが実施される。