オープンソースソフトウェアのバグを発見して報告する研究者は、もはやインターネットバグ報奨金チームから報酬を受けることはありません。プログラムを管理するHackerOneは、オープンソースセキュリティをより効果的に処理する方法を検討しながら、「投稿を一時停止している」と述べています。
複数の大手ソフトウェア企業による資金提供を受けているインターネットバグ報奨金プログラムは、2012年から運営されており、バグを報告した研究者に150万ドル以上を授与してきました。これまでのところ、支払額の80%は新しい脆弱性の発見に、20%は修復努力の支援に充てられてきました。しかし人工知能によってバグを見つけることが容易になるにつれて、そのバランスを変える必要があると、HackerOneは声明で述べています。
「AI支援による研究は、エコシステム全体の脆弱性発見を拡大し、カバレッジと速度の両方を向上させています。オープンソースにおける発見と修復能力のバランスは大幅にシフトしています」とHackerOneは述べています。
影響を受ける最初のプログラムの中には、Webアプリケーション用のサーバー側JavaScriptプラットフォームとして知られており、広範なエコシステムで有名なNode.jsプロジェクトがあります。プロジェクトチームはHackerOneを通じてバグ報告の受け入れとトリアージを継続しますが、インターネットバグ報奨金プログラムからの資金がないため、ウェブサイトでの発表によると、もはや報酬を支払いません。
インターネットバグ報奨金プログラムは、脆弱性ハンティングにおけるAIの出現に苦労している唯一のバグハンティングプロジェクトではありません。1月には、Curlプログラムが、これ以上の投稿を受け付けないと述べました。そして先月、Googleもオープンソースソフトウェア脆弱性報奨金プログラムに提供されたAI生成投稿を停止しました。
この記事は最初にInfoWorldに掲載されました。
翻訳元: https://www.csoonline.com/article/4154216/internet-bug-bounty-program-hits-pause-on-payouts-2.html
