А бб вообще оправдывает себя? Если не делать, а просто на пентестах жить, будет хуже? Или дорого?
Багбаунти полностью себя оправдывает. Это hard requirement для любой современной компании, если нет открытой и публичной бб программы и компания крупная - с ней что-то не то в разрезе безопасности. Как бы не казалось, пентесты решают схожую, но другую задачу. Например бб может ответить на вопрос, сколько стоит критичная уязвимость в компании. Выставляем цену в 20к долларов, если присылают раз в 3 месяца - значит примерно столько и стоит. Присылают чаще - значит стоит дешевле, меньше - дороже
Пентест отвечает на вопрос, что Х часов специалистов такого-то уровня могут найти столько-то проблем. Плюс с пентестов можно запросить отчет и понять, что проверенно, что нет, с багхантертов это не спросишь