昨秋開催された「CODE BLUE 2022」でデロイトの技術者が「バグバウンティ市場」を解説するという一風変わった講演があった。
高額報奨金を獲得した脆弱性の技術的解説といった情報はほとんど含まれず、むしろ駆け出しバグハンターに対してまず賞金がないプログラムで地道に実績を積むことを推奨したり、競争率の低い領域の見つけ方や、果ては情報収集のノウハウなど、いわばバグバウンティを志した若者や初心者が、発見と成長を経て「いっぱしのハンターになるまで」のヒントと示唆、そしてノウハウに満ちた興味深い講演だった。
これを紹介しないのは本誌的には実に惜しい。そこで、当時の取材メモをもとに、講演のポイントを蔵出しでお届けする。(なお「CODE BLUE 2023」は 11 月 8 日、9 日開催、本誌読者なら早割料金で申し込み済みかとは思うが念のため)
● SDLC に組み込まれるセキュリティアップデート
バグバウンティ。すでに充分認知されている言葉だが、国内企業で採用・実践する企業はまだまだ多いとは言えない。日本的な商習慣や文化では馴染みにくいのか。
しかし、高度化するソフトウェア開発において、市井の力、多数の目を活用する「ソーシャルデバッグ」は、今後ニーズは高まることはあっても廃れることはないだろう。
