Так что, хотите нормальной безопасности - пожалуйста, нанимайте пентестеров, редтимеров, пусть они ищут уязвимости у вас в системах. Используйте проверенные временем решения и лучшие практики безопасности, принципы наименьших привилегий и всё такое. Любой самый охуенный багхантер обломается и уйдёт ни с чем, пытаясь эксплуатировать SSRF, которая не эксплуатируется из-за файрволлов и политик безопасности на бэкенде. Любой самый охуенный хакер с кучей зиродеев будет срать кирпичами, когда его эксплойт не сработает из-за того, что вы выключили все исходящие соединения к недоверенным ресурсам. Баунти - это лишняя головная боль, трата денег и самое хуёвое - вознаграждение людей за то, что они просто умные. Ну да, хорошие качества могут быть важными в профессиональной работе, да только где вы видели, чтобы кому-то давали денег просто за то, что он умеет кавычку во все поля запихивать? Ну да, он крут и заслуживает уважения. Но явно не того, чтобы ему деньги платить. Вот люди, которые настраивают файрволлы, системы, порой с нуля всё собирают, чтобы сократить до минимума площадь атаки, этого реально заслуживают, а также математики, врачи, биолог
и и многие другие. Вы хотите платить деньги индусам, которые ещё вчера доили корову в засранной своей деревне? Ну-ну)
Так что я считаю баг баунти полностью проёбанной идеей. На мой взгляд, единственная вещь, которая хуже бб - это не иметь никакой безопасности вообще. С помощью бб реальные уязвимости с потенциалом эксплуатации не фиксятся и вообще остаются незамеченными, сливаются впустую горы бабла и нервов хакеров, которые ловят дубликаты, а также заставляют молчать обладателей этих нервов, чтобы контора могла охуевать и держать непропатченной эти уязвимости сколько угодно. Да и в целом, бб - это скорее мода, чем что-то реально необходимое. Бб рекламируются сейчас абсолютно таким же образом, как годы назад рекламировали облачные вычисления и всякий краудсорс в целом. Даже Гугл обязывает часть разработчиков иметь баг баунти. Если в Гугл плее отменят это правило, большая часть всех программ просто улетучится)
Так что - либо у вас реальная безопасность, и вы платите за неё не только безопасникам, но и всему айти-отделу, либо вы платите деньги индусам, которые в деревне у своих коров молоко доят.
Вот
Можно делать бб как одну из метрик эффективности всего отдела безопасности и тестирования. Присланая валидная бага == минус в карму безопасников. А без SSDLC багбаунти - кормушка для индусов