HackerOneは6月27日(米国時間)、「The Hacker-Powered Security Report: Insights from Over 800 Programs|HackerOne」において、800を超えるソフトウェアから約5万の脆弱性を修正したデータに基づいた報告書を公開した。ソフトウェア業界のみならず、さまざまな業種において使用できる資料として参考になる。
特に興味深いデータは次のとおり。
- 2016年には41%もの新しいバグバウンティープログラムがIT業界以外の業界(政府機関、メディア、エンターテインメント、金融、電子コマース、リテールほか)から発足している
- 2017年に重大(クリティカル)な脆弱性に対して支払われた報奨金の平均金額は1923米ドル(約21万5,000円)で、2015年における1624米ドル(約18万2,000円)と比較して16%増加している
- Forbes Global 2000のうち94%が脆弱性公開のポリシーを策定していない
ソフトウェアの利用は社会を支える上で欠かすことができないものになっているが、その重要度が増すにつれて脆弱性がもたらす危険性も無視できないものになってきている。オープンソース・ソフトウェアはさまざまなシーンで広く使われていることから、致命的な問題が発見された場合に広範囲に影響を及ぼすことがある。