HackerOneは8月2日(米国時間)、「5 Hacker-Powered Trends You Need to Know About|HackerOne」において、ホワイトハッカーがセキュリティを確保するために行っている活動の傾向を5つのポイントに絞って紹介した。記事では、バグバウンティプログラム(脆弱性報奨金制度)に関する調査結果を詳細に説明している。

取り上げられている事項は次のとおり。

  • 成長を続けるバグバウンティプログラム - テクノロジー業界のみならずさまざまな業界においてバグバウンティプログラムが成長を続けている
  • 解決時間の短時間化 - バグバウンティプログラムの77%がプログラム開始から24時間以内に最初の脆弱性報告を受け取っている
  • バグバウンティプログラムの支払い金額は業界によって異なっている
  • バグバウンティプログラムのほとんどは企業などによって開催されたものだが、公的機関によって開催されるバグバウンティプログラムはプライベートと比較して4倍の脆弱性発見率を実現している
  • 業界大手企業は脆弱性公開ポリシーを採用している

業種別に見た報奨金の平均額 資料:HackerOne

企業が公開している脆弱性公開ポリシーの例 資料:HackerOne

脆弱性を発見するために報奨金を支払うことが機能していることはこれまでの取り組みからも明らかになっている。最近では、こうした取り組みがテクノロジー業界に限らず、ほかの業界においても広がっているようだ。研究者らは資金を得る方法としてこうしたバグバウンティプログラムに積極的に取り組んでおり、相互に利益のある方法として機能している。