macOS や iOS の重大なセキュリティ問題を報告した人に料金を支払うのは良い考えですが、2 年経った今でも、それはまだ中途半端でけちな方法でしか行われていません。それは Apple にとっても損害であり、私たちにとっても損害です。
ベータ テストでは発見できなくても、製品を使用している何百万人もの人々が最終的に発見する問題があります。
Apple には、ソフトウェアの問題を調査する最も賢明で最も経験豊富な専門家がいますが、そのほとんどは会社で働いていません。どこかで誰かが問題を発見するでしょう。唯一の問題は、その情報をどう扱うかです。
現在、アップルは彼らが名乗り出ないようにするプログラムを用意している。
それは本来そういうことではありません。公式には、Apple は 2016 年からいわゆるバグ報奨金プログラムを実施していますが、それは単純なものであるはずです。 Apple のソフトウェアに重大なバグが見つかった場合、同社は報奨金を支払います。それでおしまい。確かに、あなたが最初に見つけたかどうかという問題はあるでしょうが、管理者はさておき、それは簡単です。
それでも、バグ報奨金を始めてから 3 年が経ち、今週 Apple が実際に報奨金を支払ったということで、衝撃的な事実がテレビのニュースになりました。そしておそらく、彼らはそのニュース報道のためにそうしただけかもしれません。
グッドアップル
アップルは正しいことをした。発見に対していくらかのお金を支払っただけでなく、問題とその問題を解決しました。リリースノートにはそれを見つけた人の功績が記されています。
人々はバグを見つけて Apple に報告し、Apple はそれを修正して感謝の意を表しました。それが起こったことであり、もしそれがその順序で起こったなら、そのプロセスをほぼ直線でさえ進んでいたなら、私たちはそれについて考えていなかったでしょう。そして、さらに重要なことは、バグを見つけた他の人は、私たちが望んでいるように、直接 Apple に連絡するでしょう。この問題を修正したのは Apple の功績であり、間違いなくこのバグ報奨金プログラムを作成した会社の功績はすべてあります。
ただ、プログラムを作成した人々と、お金を支払うべき人々が別のオフィスにいるようなものです。
Apple はこのバグ報奨金が自分たちに課せられたものであるかのように振る舞い、経理部門はその額が会社を破産させるかのように振る舞っています。何気なくお金を使っても世界で最も収益性の高い企業になることはできませんが、数字を見てください。バグ報奨金は 25,000 ドルから 200,000 ドルが支払われることになっているが、短期的に見ても Apple は間違いなく PR が悪かったためにその報奨金を失っている。
これが別の方向に進んでいたら、Apple がバグ報告を受け入れ、すぐに対応し、感謝として子供の大学教育費を支払うともっとタイムリーに発表していたら、同社はスターになっていただろう。確かに、有能な人なら誰でも時流に乗って、バグを見つけて Apple に報告しようとするでしょう。しかし、それこそが彼らが望んでいることなのです。
私たちは、すべての人に Apple を愛してもらいたいわけではありません。バグを見つけた人には、ためらうことなくそれを会社に直接持ち込んでほしいのです。
抗議活動を続ける
また2月には、ある研究者が新しいキーチェーンエクスプロイトをデモンストレーションしました、適切な状況があれば、執拗かつ集中的な攻撃者がキーチェーンからパスワードを抽出できるようになります。悪質な広告が表示されたときにパスワードが悪者にダウンロードされるほど単純ではありませんが、それでも攻撃のベクトルにはなります。
そして、研究者は、わかりにくいバグ報奨金プログラムのせいで、それが機能するという事実のデモンストレーション以外に、具体的な詳細を Apple と共有していません。 Apple がここですべての詳細を明らかにした方が良いでしょう。確かに、研究者が保留しているのは問題の一部ですが、保留されている理由はかなり明らかです。
克服できない問題ではない
Apple が否定とペニーピンチを交互に繰り返しているように見えることを誰も望んでいませんが、実際にはそうなのです。天使の側にいる人は、バグを見つけた人が、macOS や iOS の脆弱性を悪用する人に売りつけるほうが簡単だと思われることを望んでいません。
Apple に報告することが最善であることを明確にし、報告の方法さえ隠すのはやめてください。現時点では、このバグ報奨金プログラムをどこで見つけるかは困難でしょう。早速、Apple Web サイトでその方法を検索してください。
おそらく、少し考えて、apple.com は適切な場所ではない、代わりに support.apple.com を検索するべきだと判断したかもしれません。関係ない。違いはありません。
何か思いつくだろうと思うだろう
バグや問題の同義語を理解するのに時間を費やさない限り、報奨金、お金、報酬は忘れてください。バグを報告する方法を見つける唯一の方法は、Google 検索を使用することです。代わりに、google.com にアクセスして「apple.com のバグ報奨金」を検索すると、見つかります。
というか、次のようなサポート ページがあります。セキュリティの問題について Apple に問い合わせる。顧客向けのセクションがありますが、これとは何の関係もありません。開発者向けのセクションがあり、全員が登録する必要がある通常の Apple Developer Connection プログラムを通じて問題を報告するように指示されています。
そして最後に、セキュリティとプライバシーの研究者というセクションがあり、希望する場合は [email protected] に電子メールを送信できると言われています。それは明らかにあなたが必要とするものですが、Apple はここでもどこでもそうは言っていないので、私たちを騙す可能性があります。
スマート
バグを見つけることができるほど賢い人は、最終的にはバグ報奨金プログラムを見つけることができるほど賢いです。また、あなたが賢明で、バグに決してアクセスしたくないような人々から多額のお金が得られることを知っている可能性も十分にあります。
バグを売りつける悪い人を見つけるのは難しくても、Apple に売り込むのは簡単ですが、私たちは問題ありません。 Apple は、優秀な人材を見つけるのにこれほど苦労すべきではない。
Apple がこの Group FaceTime バグの発見にどれだけの金額を支払ったのかは私たちには分かりませんし、おそらく知ることもありません。また、今回、ペニーピンチの拒否プロセスがどれほどの損害を与えたかについて、実際に価格を付けることはできません。 Appleがすでに問題を解決しているにもかかわらず、ひどい見出しが依然としてインターネットやソーシャルメディア全体に現れている。
したがって、これが次に何を意味するかについて実際に金額を設定することはできないということになります。単一の事件を重視しすぎることはありますが、それが話題になっている唯一の事件、ニュースになる唯一の事件である場合、その事件が最初に記憶されることになります。
この 1 つのインシデントからわかることは、Apple にはバグ報奨金プログラムがあるが、それについてユーザーに知られたくないということです。 Apple は実際にはバグを報告してほしくないし、金銭を支払うことも望んでいないことが分かりました。
そして次に誰かが重大なバグを発見した場合、Apple、そして私たち全員に 25,000 ドルから 200,000 ドルをはるかに超える損害が発生する可能性があります。
ダウンロードして AppleInsider の最新情報を入手してください。AppleInsiderアプリiOSの場合、およびYouTube でフォローしてください、ツイッター@appleinsiderそしてフェイスブックライブの最新報道に。公式サイトもチェックしてみてくださいインスタグラム独占写真専用アカウント。
Isamu 
Isamu 
Isamu