Core Concepts
소프트웨어 벤더는 버그 바운티 프로그램(BBP)을 통해 외부 보안 전문가들의 도움을 받아 소프트웨어 취약점을 발견하고 관리할 수 있으며, 이를 통해 더 빨리 제품을 출시하고 수익을 높일 수 있다.
Abstract
이 논문은 소프트웨어 벤더, 화이트 해커(WHH), 블랙 해커(BHH) 간의 전략적 상호작용을 게임 이론 모델을 통해 분석한다. 주요 내용은 다음과 같다:
BBP에 참여하면 소프트웨어 벤더의 기대 수익이 증가한다. 이는 BBP의 확산을 설명한다.
BBP를 가진 벤더는 BBP를 통해 취약점 발견과 공개를 관리할 수 있기 때문에, 더 빨리 소프트웨어를 출시할 것이다. 다만 이 경우 출시 시점의 잔존 취약점이 더 많을 수 있다.
벤더가 BBP에 초대할 최적의 WHH 수는 예상되는 BHH 수에만 의존한다. 이 최적 WHH 수는 예상 BHH 수보다 작지만 BHH 수가 증가할수록 커진다.
더 높은 보상금은 WHH의 노력을 증가시켜 심각한 취약점을 먼저 발견할 가능성을 높이고, BHH의 성공 가능성을 낮춘다.
이러한 결과는 BBP가 벤더의 수익성 외에도 보안 태세 및 이해관계자 신뢰 제고에 도움이 될 수 있음을 보여준다. 또한 BBP는 취약점 발견 및 공개 프로세스를 새로운 시장 관계와 거래 속에 포함시켜 벤더의 제품 보안 선택에 영향을 미친다.
Stats
소프트웨어 벤더가 BBP에 참여하면 기대 수익이 증가한다.
BBP를 가진 벤더는 더 빨리 소프트웨어를 출시하지만, 출시 시점의 잔존 취약점이 더 많을 수 있다.
벤더가 BBP에 초대할 최적의 WHH 수는 예상되는 BHH 수에만 의존한다.
더 높은 보상금은 WHH의 노력을 증가시켜 심각한 취약점을 먼저 발견할 가능성을 높이고, BHH의 성공 가능성을 낮춘다.
Quotes
"프로그램 테스트는 버그의 존재를 보여줄 수 있지만, 그 부재를 보여줄 수는 없다." - Edsger Dijkstra
"소프트웨어는 세상을 먹어 치우고 있다." - Marc Andreessen