ゼロデイ脆弱性公表　appleバグ報酬プログラムが機能せずとセキュリティ研究者

Appleはお金手放したくないのでは？

プロプライエタリのソフトウェアなので、
報告されたらAppleが自分で直してアップデート版をリリースせねばなりません。
他方で、ほぼ誰にもバレていないバグは黙っていても悪用されにくく、放置して押し切ろうというビジネス方針が出てくることがありえます。
マイクロソフトだってそうです。

オープンソースだと、どうしても早晩にバレる、バグは誰かが直してコミットしてくれることもあります。

我々はiOSの中味も、アップデートされて直されたバグも、よくわかりません。
Windowsなども同じです。
これだと、自己管理と自己責任の発想（デモクラシー）に反するという思想的問題は昔からありましたが、
このインターネット時代には、ネットワーク経由で何されるかわからないという具体的な危険もあります。

一部の人間は約款に反してでもリバースエンジニアリングしています。
悪のプロもそうやってしれっと稼いでいるわけです。

お金もそうですけど、認定した脆弱性を正さずに放置したのも研究者の心境を損ねたのでしょう。

Appleの通報システムがいくらか知りませんが、腕のいいセキュリティエンジニアチームの年棒よりも安く済むでしょうから、効果的と言えば効果的です。
※最高100万ドルでした……まあ、外部の会社も100万ドルだしているからね(iOS10で150万ドルに)。

Apple Security Bounty
https://developer.apple.com/security-bounty/

iOS 9のリモート脱獄報奨金プログラム、1チームが100万ドルを獲得
https://apple.srad.jp/story/15/11/06/0615217/

下の合宿で支払われた報奨金＋合宿にかかった費用もエンジニアの年棒未満でしょう。
※評価チームの残業代も出してやってくれ！

“バグハンター”たちが競い合うオフラインの「合宿」、報奨金も出るサイボウズの脆弱性発見コンテストで見えたこと
https://internet.watch.impress.co.jp/docs/special/1216715.html
9月18日時点で42件の脆弱性（報奨金は約300万）が確定したという（合宿で報告されていても、最終的に確定していないものもまだ残っている）。