פרוייקט שלי מועמד לפרס/מלגה, ומילה על bug bounties

אני אפילו לא בטוח איך לקרוא לזה. הגשתי את rsyncrypto שלי לתחרות פרס לפרוייקטי תוכנה חופשית. רק כדי שלא תגידו שאני מנסה להטות את הכף בצורה לא הוגנת, יש עוד חמישה ימים להגיש מועמדות, אם מישהו מעוניין.

הפרס הראשון בכל קטגוריה הוא 3000 אירו + נלווים (אם הצלחתי להבין נכון). אני חייב לציין שעם מעבר הדירה לאחרונה, הוא יתקבל בברכה. בכלל, כל הרעיון מאחורי התחרות הוא רעיון יפה. למשל, פרוייקטים שפסולים מלהשתתף כוללים פרוייקטים שהם ידועים מידי, מתוך הנחה שהם לא צריכים את התחרות הזו כדי להגיע למשתמשים שלהם (מה שלא מנע מ-TuxPaint להגיש מועמדות).

גם הביצוע בנתיים נראה לא רע. רשימת נותני החסות כוללת את האיחוד האירופאי. התחרות עצמה היתה מאוד מאוד מוטת פרוייקטים צרפתיים (או, לפחות, דוברי צרפתית), אבל עם כמה פניות מנומסות מצידי הם מאוד שיפרו את המצב. הפרסים נראים, במבט ראשון, מכובדים מבחינת השווי שלהם, ואם מה שקורה שם תואם את מה שנראה שקורה שם, מדובר על יוזמה ברוכה ומרשימה כאחד.

אני אציין במאמר מוסגר שיש שני סוגים של תמריצים שעובדים. אחד הוא תמריץ כספי, ואחר הוא תמריץ הכרתי. לעמותה כמו "המקור", שיש לה מוניטין סביר, יש יכולת לתת תמריץ הכרתי (כונה "פרס המקור" בשנים שבהן הוא ניתן): "הנה, אנחנו מכירים בעובדה שעשית למען תוכנה חופשית, ונתנו לך מגן שאומר את זה". לעמותה עם משאבים כספיים מוגבלים, זה משהו יפה שהיא יכולה לתת.

מנגד, תחרות מהסוג הזה מסוגלת לתת פרס כספי ראוי. 18,000 שקל + לאפ טופ הם בפירוש פרס שאין מה להתבייש בו. היוזמות שנמצאות בסכנה הן היוזמות שמנסות את דרך הביניים. ברגע שהפרס יותר גדול מלהיות סביב ההכרה בלבד, מתחילים לשפוט אותו על פי גודלו. הבעיה היא שאם פרס מפסיק להיות סימלי באיזור מאות השקלים, הרבה פעמים הוא צריך עוד סדר גודל שלם לפני שהוא מתחיל להיות גם מכובד. התוצאה היא פרס שהוא גדול מידי מכדי להחשב סימלי, אבל קטן מידי מכדי שיחשב מכבד את מקבלו (או נותנו).

ואני מכוון פה, במידה רבה, ל-Bug bounties. יהיו באגים, כולל כאלו של עשרות שעות עבודה, שאני אצליח לשכנע אנשים לפתור בשבילי בחינם או תמורת 50 שקלים, שאני לא אצליח לקנות מהם באלף. 50 שקלים זה סכום מספיק קטן כדי שאדם יעבוד בשביל הכיף שלו. 1000 מספיק גדול כדי שזה ייחשב עבודה לצורך הכנסה, שאז לעבוד עשרות שעות בשביל רק אלף שקל נראה, בצדק לחלוטין, לא משתלם.

והאמת היא שזו בעיה שאין לי מושג איך לפתור. כל עוד אנשים פותרים bug bounties בגלל שהם אומרים לעצמם שאם למישהו זה מספיק כאב כדי שהוא ילך וישים על זה כסף, זה שווה את הזמן שלי בחינם, אז אחלה. ברגע שאנשים אומרים "האם משתלם לי לעבוד על הבאג בשביל הבאונטי", הסכום צריך לגדול באופן מאוד משמעותי כדי שהבאג ייפתר.

שחר

מאת

שחר שמש

מייסד ומנכ"ל "לינגנו ייעוץ קוד פתוח בע"מ" חבר ועד בעמותת "המקור" וסתם פעיל קוד פתוח ולינוקס

8 thoughts on “פרוייקט שלי מועמד לפרס/מלגה, ומילה על bug bounties”

  1. 50 שקל זה לא רק נמוך אלא פרס מעליב למדי. אתה לא תמצא בחו"ל פרסים של 10$ .
    אני חושב שבאג באונטי צריך להתחיל לפחות מ- 250 שח.

    מי יעבוד כל כך הרבה בשביל פרס סימלי של 250 ש"ח?
    אתה לא לוקח בחשבון את הנוער – רבבות שיושבים בבית מול המחשב ואין להם יותר מדי מה לעשות חוץ מלדבר ב ICQ כמו פקאצות וללמוד להריץ סקריפטים של אקספלוייטים כאלו ואחרים. בשבילם 250 זה כסף טוב. לדעתי bug bounty יתן להם דמי כיס ומשהו אתגרי לעשות.
    לא כדי לזלזל בכח עבודה כזה ובאיכותו שכן אני מכיר כמה וכמה אנשים שעשו דברים מדהימים עוד בצעירותם, אפילו לפני שרכשו השכלה רשמית כלשהי.

  2. אז אתה מסכים עם הנקודה שלי, בעצם. יש דברים שאתה תעשה בחינם בשמחה, אבל בחיים לא תהיה מוכן לעשות תמורת 50 שקלים. עכשיו, האם הרף הוא 50 או 250 שקלים זו שאלה של פרטים.

    שחר

  3. ושוב, אנחנו בני אדם עסוקים וכנראה שאין לנו זמן לפתור באגים בסבבה ולאסוף את הכסף סתם בשביל הכיף (וההכר), ולכן קשה לנו להבין למה מישהו יטרח בשביל 50 או 250 ש"ח, אבל אני זוכר כמה תקופות בחיי שהייתי לוקח עלי אתגר כזה ברצון, ואני מאמין שיש כמה אנשים שנמצאים בתקופה כזו מדי פעם.

  4. יש ספר שנקרא "freaconomics". הסיפור הראשון בו שווה קריאה בהקשר הזה.

    אם אתה צריך, לעובד שלי יש אותו. שלח לי אימייל ואני אקשר אותך איתו.

    שחר

סגור לתגובות.