Yelp、懸賞金付きバグ探しを人材発掘にも活用

次の記事

YahooがTensorFlowをApache Sparkで高度なスケーラビリティへアップ

Yelpは6ヵ月前に懸賞金付きバグ探しを開始して以来、システムの脆弱性を発見したハッカーに1万7000ドル以上の賞金を支払った。しかし、バグ探し懸賞の効果はセキュリティーの改善だけではない。Yelpの幹部によると、プログラムは優れたセキュリティー技術者を呼び、Yelpの正社員になったケースもある。

バグバウンティと呼ばれるこの懸賞プログラムは、現金と引き換えに脆弱性を報告する手段をハッカーに与えることで、システムの欠陥を悪用する代わりに改善に協力するインセンティブを与える。GoogleやFacebook等の大企業は、何年も前から公開バグバウンティー・プログラムを実施しているが、小さな会社では非公開のプログラムで自社製品のセキュリティーを確保しようとすることもある。

「今やバグバウンティ・プログラムは必要経費」とYelpの技術担当SVP、Michael StopplemanがTechCrunchに話した。「大企業では一般的になってきているのを見て、脆弱性を悪用する代わりに報告する道を与えるのはよい方法だと感じた。実に建設的なインセンティブだ」。

ただ業界の流行に乗っているだけはない。HackerOneが運用するこの懸賞プログラムは、社員に良い影響を与え、入社希望者に対してYelpがセキュリティーを重視していることを示す役割を果たしている。

「公開バグ探しは開発チームにとって理想的な試金石。セキュリティーの強さ知る一番のテストだ。『うちのドアをノックしても何も見つからないよ』と世間に向かって発信することで、自社技術を信頼していることを市場に訴えられる」とStopplelmanは説明した。「世界水準の技術チームに入りたいと考えているエンジニアへの呼びかけにもなる」。

公開プログラムを実施する前、Yelpは非公開プログラムを2年間行っていた。9月に公開して以来、プログラムは順調に推移している。

  • 30日後:解決バグ22件、賞金 5000ドル、レスポンス時間19時間、解決時間1ヵ月以内。

  • 60日後:解決バグ36件、賞金1万3500ドル、レスポンス時間21時間、解決時間29日。

  • 100日後:解決バグ39件、賞金 1万3850ドル、レスポンス時間24時間以内、解決時間1ヵ月以内。

  • 140日後:解決バグ52件、賞金1万7200ドル、レスポンス時間2日以内、解決時間1ヵ月以内。

「非公開のバウンティの間にバグを修正することができた。セキュリティ全般について以前より確信が持てるようになった」とYelpのセキュリティー責任者、Vivek Ramanは言う。「新機能を公開したときには、ハッカーコミュニティーにはアタックして脆弱性を見つけとほしい」。

Yelpはバグバウンティ・プログラムを今後も続けていく計画で、プロモーションや別のインセンティブでハッカーを引き止めることを考えている。

[原文へ]

(翻訳:Nob Takahashi / facebook