Mozilla ユーザー、バグ発見プログラムで報奨金を獲得

オープンソース団体 Mozilla Foundation は3月28日、報奨金プログラム『Mozilla Security Bug Bounty Program』で提供した報奨金がこれまでに6000ドルに達したと発表した。うち半分近くは1人のドイツ人開発者が獲得したという。

Bug Bounty Program は、ソフトウェアのセキュリティ問題について報告するよう Mozilla ユーザーに促す目的で始まったプログラムだ。南アフリカのベンチャー投資家 Mark Shuttleworth 氏と、Linux 製品ベンダ Linspire の資金援助を受けて、2004年8月に発足している。

発足以来、これまで5人のユーザーが報奨対象となり、報告した12件のセキュリティ脆弱性1件につき500ドルを受け取った。このうちドイツの Michael Krax 氏が、全体の半分近くにあたる2500ドルを得ている。Mozilla Foundation のエンジニアリング担当ディレクタ Chris Hofmann 氏によると、報奨金の提供件数は少ないが、オープンソースコミュニティからのセキュリティバグ報告件数はそれより格段に多いという。

Hofmann 氏は、次のように述べている。「報告を受けたバグを、1週間や1か月といった単位で集計するのは難しい。調査で1つのエリアのバグを特定しても、その変種にあたる別のバグ報告が複数あったりもするからだ。従って、バグ報告件数の計算は必ずしも正確ではない」

Mozilla Foundation は、スイート製品『Mozilla Suite』、Eメールクライアント『Thunderbird』、Web ブラウザ『Firefox』、それぞれの最新版について、これまで合計66件のセキュリティバグを特定し、修正した。

セキュリティ問題と言えば、Microsoft (NASDAQ:MSFT) の『Internet Explorer』(IE) およびその関連製品も、長年にわたって悩まされ続けている。同社幹部は新たな対策を講じていると言うが、いまだに解決しない。

Mozilla Foundation が Microsoft と違うのは、指摘を受けた脆弱性の特定と公表、および迅速なパッチ (修正プログラム) リリースに積極的なことだと、セキュリティコンサルタント会社 ScanIT は3月に発表した報告書で述べている。