脚の別のショット
懸念ゼネラルモーターズは、「報酬」のバグと脆弱性を検索するための独自のプログラムを開始したと、 securityledger.comが報告しています。 新しいBBのハイライトは、見つかった脆弱性に対して懸念が金を払わないということです。
このプログラムは、GMがソフトウェアへのアクセスを提供するホワイトハットハッカーと情報セキュリティの専門家を対象としています。 バグバウンティは、ホワイトハットハッカーや会社の内部ソフトウェアに取り組む他の専門家の関心を高めるために開始されました。 参加に対する実際の「報酬」は、脆弱性を発見した専門家に対する訴訟がないことです。
この「前例のない寛大さの誘致」は、2016年1月5日にHackeroneのWebサイトで開始され、ゼネラルモーターズソフトウェアのセキュリティ脆弱性に関するデータを送信する専門家に「永遠の栄光」を約束します。 BBプログラムを開始するときに通常そうであるように、金銭的な報酬については、サイトは言及されていません。 しかし、「永遠の栄光に身をまかせる」最初の人物であることが提案されています。 ゼネラルモーターズは、同様のオファーでITコミュニティにやってきた最初の「古い資本主義の巨人」ではありません。
一方、自動車関係者から数百万ドルの訴訟を受けないためには、セキュリティの専門家またはハッカーが、たとえば次の要件を満たす必要があります。
- GMまたはその顧客を傷つけないでください。
- ソフトウェアでの作業に関する詳細なレポートを提供します。
- 会社の顧客またはそのサービスの生命または安全を危険にさらさないでください。
- 法律を破らないでください。
- GMによって脆弱性を排除するために、脆弱性の場所の詳細を提供するために必要です。
- キューバ、イラン、北朝鮮、スーダン、シリア、クリミアのスペシャリストはプログラムへの参加を許可されていません。
下のスクリーンショットにあるGM BBプログラムの詳細な説明:
1週間、誰も参加する気がなかった
GMの時価総額470億ドルを考えると、現金報酬情報の欠如は少なくとも奇妙に見えます。 バウンティバグプログラムは、才能のあるハッカーや情報セキュリティの専門家にとって深刻な収入源となっており、年間数十万ドルを稼ぐことができると同時に、大企業やソフトウェア大手が生産するソフトウェアの品質を向上させています。 「市民」セキュリティガードのサービスは、Yahoo、PayPal、Twitter、Facebook、Microsoftなどの企業で積極的に使用されています。