Autorzy raportu "An Empirical Study of Vulnerability Rewards Programs" - Matthew Finifter, Devdatta Akhawe oraz David Wagner – przeanalizowali programy VPR (Vulnerability Reward Program – czyli projekt, w ramach którego producent oprogramowania płaci za zgłaszane mu błędy) prowadzone przez Google dla przeglądarki Chrome oraz Mozillę dla Firefoksa. 

Naukowcy wyliczyli, że w ciągu ostatnich trzech lat obie firmy wypłaciły za zgłaszanie luk podobne kwoty – 580 tys. USD w przypadku Google i 570 tys. w przypadku Mozilli. Efektem było załatanie w przeglądarkach Chrome i Firefox co najmniej kilkudziesięciu różnych, mniej lub bardziej poważnych, luk w zabezpieczeniach.

Zobacz również:

• Użytkownicy Androida mogą się wkrótce zdziwić
• Mozilla stworzyła nową usługę, która usuwa nasze wrażliwe dane z internetu

Oznacza to, że rocznie na ten cel obie firmy wydały poniżej 200 tys. USD – czyli niewiele więcej niż wyniósłby roczna koszt zatrudnienia doświadczonego specjalisty ds. bezpieczeństwa i analizy oprogramowania pod kątem luk (autorzy raportu szacują, że wszystkie koszty związane z utrzymaniem takiego pracownika to w USA ok. 150 tys. USD).

"W cenie jednego doświadczonego developera obie firmy dostały "oczy" setek specjalistów z całego świata, którzy nieustannie śledzą kod ich programów w poszukiwaniu luk. Jeden człowiek zatrudniony na etacie absolutnie nie byłby w stanie osiągnąć w takim samym czasie zbliżonych rezultatów" – tłumaczą naukowcy z University of Kalifornia.

Zdaniem autorów raportu, wypłacanie nagród za błędy po prostu się opłaca – i dziwne jest, że podobnych programów do tej pory nie uruchomili inni producenci oprogramowania (np. Adobe czy Oracle, które również często usuwają wiele luk ze swoich produktów). Do niedawna za luki nie płacił również Microsoft – ale firma uruchomiła ostatnio dwa programy, przewidujące gratyfikację finansową za zgłaszanie błędów w Windows 8.1 oraz Internet Explorerze 11 (aczkolwiek w tym drugim przypadku projekt jest ograniczony czasowo – potrwa do momentu udostępnienia finalnej wersji IE11).

Naukowcy podkreślają, że programy VPR są korzystne nie tylko ze względów finansowych – minimalizują one ryzyko sprzedania informacji o lukach na czarnym rynku, a także utrudniają znalezienie błędów osobom, które chciałyby je wykorzystać do celów przestępczych (poprzez eliminowanie z kodu luk).

Co ciekawe, autorzy dokumentu twierdzą, że program prowadzony przez Google jest znacznie bardziej efektywny niż oferta Mozilli. Ta druga ustaliła sztywną stawkę – organizacja płaci za każdą lukę 3 tys. USD. W przypadku Google kwoty są płynne – startują co prawda z niższego etapu (500 USD), ale mogą sięgnąć 10 tysięcy USD (a w przypadku cyklicznych konkursów dla hakerów – nawet 150 tys.). A to sprawia, że program Google przyciąga więcej uczestników – efektem jest to, że do tej pory wykryto więcej błędów w Chrome niż w Firefoksie.