| Titre | Hackers' self-selection in crowdsourced bug bounty programs | |
|---|---|---|
| Auteur | Arrah-Marie Jo | |
 |
Revue | Revue d'économie industrielle |
| Numéro | no 172, 4ème trimestre 2020 De l'économie numérique à la transformation numérique de l'économie | |
| Page | 83-132 | |
| Résumé |
Un « programme de chasse aux bogues » consiste à récompenser des individus lorsqu'ils trouvent des failles de sécurité dans un logiciel ou un système. C'est une forme de crowdsourcing utilisée de manière croissante par les entreprises qui souhaitent améliorer la sécurité de leur système, mécanisme représentatif du marché des vulnérabilités qui capitalise sur la contribution des tierce-parties. A travers l'analyse de données de panel sur 156 programmes de chasse aux bogues gérés sur la plateforme HackerOne, nous montrons comment la perception de l'incertitude à être rémunérés des hackers, défini par le niveau de détail des termes contractuels, affecte leur choix de participation et par conséquent l'efficacité du programme. Source : Éditeur (via Cairn.info) |
|
| Résumé anglais |
A bug bounty program, also known as a Vulnerability Research Program (VRP), is a form of crowdsourcing increasingly used by companies to improve their system security. It involves offering monetary rewards to individuals that find new security flaws in a piece of software or a system. One of the key challenges in the design of such contests is to attract enough participants of a high standard. In this paper, we study how hackers' perception of the uncertainty of obtaining a reward, determined by the level of information a contest provides about the contractual terms, affects the outcome of the contest both quantitatively (the number of participations) and qualitatively (participant skill and experience). Specifically, we examine how a hacker's choice to participate in a VRP depends on this level of information. Using an unbalanced panel data set on 156 bug bounty programs run on a well-known bug bounty platform, we find that a more detailed contest policy and in particular more information about the compensation scheme attracts a greater number of participants. On the contrary, providing less detail induces less participation but attracts more skilled and more experienced hackers. Hackers self-select whether to participate in a VRP according to the level of information about the contest's contractual terms, which leads to a trade-off between inducing higher rates of participation and attracting more valuable participants. Source : Éditeur (via Cairn.info) |
|
| Article en ligne | http://www.cairn.info/article.php?ID_ARTICLE=REI_172_0083 |
