Nagrajevanje ranljivosti učinkovitejše in cenejše od zaposlovanja

Raziskava, ki so jo opravili na Univerzi Berkeley, kaže, da je nagrajevanje odkritih varnostnih ranljivosti zelo učinkovita in poceni metoda za iskanje lukenj v programski opremi. V študiji so analizirali programa, ki ju izvajata Mozilla in Google. V zadnjih treh letih je Google iz tega naslova izplačal 580.000 dolarjev, Mozilla pa 570.000 dolarjev. To se sliši mnogo, a v resnici gre za drobiž. Če računamo, da bi morali vrhunskega strokovnjaka plačati od 100.000 dolarjev letno naprej, da bi to počel v podjetju, ugotovimo, da bi s tem zneskom Google lahko zaposlil enega ali kvečjemu dva človeka. Tako pa so za isti znesek dosegli, da jim je kodo prečesavalo ogromno ljudi. In več glav več ve.

A tudi razdeljevanja denarja na tak način ima svoje finese. Mozilla plačuje fiksnih 3000 dolarjev, če je ranljivost kolikor toliko pomembna, medtem ko Google znesek prilagaja dejanski zahtevnosti. Google ponuja od 500 do 10.000 dolarjev, povprečno izplačilo pa je zgolj okoli 1000 dolarjev. A ker je ponujena najvišja nagrada višja, imajo ljudje večjo vzpodbudo za iskanje lukenj v Chromu. Tam so jih odkrili trikrat več kot v Firefoxu (alternativna razlaga bi bila, da je Firefox pač manj luknjast). Hkrati to pomeni, da je manj možnosti, da bodo odkrito ranljivost prodali na črnem trgu, ugotavlja študija. Ta argument je sicer precej majav, saj so cene na črnem trgu za res dobre ranljivosti bistveno višje.