버그 바운티 프로그램을 종료합니다

핵심 요약

Turso는 데이터 손상 입증 버그에 1,000달러를 지급하던 버그 바운티를 약 1년 운영한 뒤 종료함보상이 걸리자 AI 생성 저품질 PR이 대량 유입돼 유지보수자들이 며칠 동안 이를 닫는 데 시간을 씀초기에는 5명에게 보상했고, 일부 기여는 시뮬레이터 개선과 SQLite의 10개 넘는 버그 발견으로 이어짐Turso는 보증 시스템으로 의심 PR을 자동 종료
Turso, 버그 바운티 프로그램 종료 (turso.tech)2P by GN⁺ 6일전 | ★ favorite | 댓글 1개
Turso는 데이터 손상 입증 버그에 1,000달러를 지급하던 버그 바운티를 약 1년 운영한 뒤 종료함

주요 기술 내용

보상이 걸리자 AI 생성 저품질 PR이 대량 유입돼 유지보수자들이 며칠 동안 이를 닫는 데 시간을 씀
초기에는 5명에게 보상했고, 일부 기여는 시뮬레이터 개선과 SQLite의 10개 넘는 버그 발견으로 이어짐
Turso는 보증 시스템으로 의심 PR을 자동 종료했지만, 봇들이 수동 검토 이슈와 유사 PR 재제출을 반복함
Turso는 오픈 기여를 유지하기 위해 시스템을 닫기보다 금전 인센티브 제거를 선택함
Turso가 버그 바운티를 중단한 이유

실무적 시사점

Turso는 거의 1년 동안 데이터 손상으로 이어질 수 있음을 입증한 버그에 1,000달러를 지급했지만, 이제 프로그램을 종료함
금전 보상이 붙은 뒤 Turso 저장소에는 AI 생성 저품질 PR이 몰렸고, 유지보수자들이 며칠 동안 대부분의 시간을 이런 PR을 닫는 데 써야 했음
Turso는 오픈 기여 프로젝트로 남고 싶지만, 특정 버그 유형에 돈을 지급하는 구조가 오픈 기여 운영을 거의 불가능하게 만든다고 봄
이번 결정은 새로운 시대의 오픈소스 거버넌스를 어떻게 세울지 함께 배워야 한다는 인식 속에서 공개됨
프로그램을 시작한 배경
Turso는 세계에서 가장 신뢰성 높은 소프트웨어 중 하나로 알려진 SQLite를 다시 구현하고 있으며, 그만큼 높은 신뢰성 기준이 필요함

향후 전망

Turso는 SQLite 수준의 신뢰성을 맞추거나 넘어서기 위해 여러 테스트 체계를 운영함
네이티브 결정적 시뮬레이터
SQLite와 비교하는 오라클 기반 차등 테스트 엔진
Antithesis에서의 광범위한 실행
테스트 인프라도 결국 소프트웨어라 완벽하지 않으며, 생성기가 실제로 만들어내는 조합 안에서만 버그를 잡을 수 있음
예를 들어 퍼저가 인덱스를 만들지 않으면, 시스템의 다른 부분을 강하게 스트레스 테스트해도 인덱스 관련 버그는 찾기 어려움

원문: https://news.hada.io/topic?id=29570