「脆弱性に対する報奨金プログラム」は正規雇用よりも費用対効果が高い

taraiok 曰く、　カリフォルニア大学バークレー校の研究者によれば、ソフトウェアのバグを発見するために、独立したセキュリティ研究者などに対して報奨金を支払う方法は、同じ仕事をするために従業員を雇うよりもはるかに効率的なのだそうだ（ITWorld、本家/.）。

　過去3年間にバグ報奨金プログラムを通じて、数百人のフリーのプログラマがChromeとFirefoxブラウザの脆弱性修正に協力した。バグ報奨金プログラムの支払額はGoogleが58万ドル、Mozillaが57万ドルになったという。一方、開発者を北米で正規雇用すると、給与に加えてその約50％のオーバーヘッドが発生、年間平均10万ドルの費用がかかるという。さらに記事ではバグ報奨金プログラムの参加者のほうが、雇用した開発者よりも多くのバグを見つけ出したとしている。

　GoogleとMozillaでは、同じバグ報奨金プログラムでも内容が異なる。Mozillaでは、内容にかかわらず報酬を支払う方式だが、Googleは発見した内容に応じて報奨金の金額が上下する仕組みだ。Google方式の場合、内容を判定する管理者の裁定が必要であるため、運営の難しさがあるが、Googleの報奨金プログラムは、Mozillaとほぼ同じコストでありながらも多くのバグの発見につながり、また研究者の再参加率も高いという。

　ちなみに、Adobe SystemsやOracleはこうした報奨金プログラムを採用していない。

　スラッシュドットのコメントを読む | デベロッパーセクション | ビジネス | プログラミング

　関連ストーリー：
米Microsoft、ストアなどで配信するアプリの脆弱性に180日以内の修正を義務付け 2013年07月11日
Microsoft、バグ発見報奨金プログラム導入 2013年06月24日
BSA、違法コピー解決につながる有力情報に最大100万円の報奨金 2013年06月04日
WebKitの縦書きバグを修正して報奨金をもらおう？ 2013年01月13日