米Facebookのセキュリティ担当者は4月4日、バグ発見に対し報酬を払うBug Bounty Programに関する報告を行った。2013年、バグ発見に対して研究者や開発者に支払った金額は総額約150万ドルだったという。

Bug Bounty Programは自社ソフトウェアの品質改善を目的に、欠陥や不具合(バグ)を報告した人に報酬を払うプログラムで、Facebookは2011年8月に開始した。

今回の報告によると、2013年は1万4763件のバグ報告が寄せられた。2012年と比べて246%の増加となった。同社の基準を満たし有効と認められ、報酬が払われたのは全体の4%にあたる687件とのこと。このうちの6%が、「深刻度が高い」と分類されたという。深刻度が高いバグについては、報告があってからのレスポンス時間は平均6時間だったと報告している。Facebookによると、1日2回コードをプッシュできるインフラを構築しており、重要なアップデートを迅速にリリースできる体制にあるという。

687件のバグ発見に対し、Facebookは約330人に報酬総額は150万ドルを支払った。1人あたりの平均金額は2204ドル。ほとんどのバグが中核ではなかったという。2011年の支払い報酬総額は200万ドル以上だったので、バグの数は増えたが支払った報酬金は減少したことになる。金額からみて最も高かったのがロシアで、38件のバグに対し平均3961ドルを支払ったとのこと。数の面ではインドが最も多く、136件のバグが有効と判断され平均して1353ドルを支払った。米国は92件で平均2272ドル、次いでブラジル、インドの順とのことだ。

2014年については、これまでのところ順調で深刻度の高いバグの数は少なくなっているという。