Auto-sync: 2026-04-22 04:02

wiki/concepts/Bug-Bounty.md

@@ -0,0 +1,63 @@
+# Bug Bounty
+
+## Definition
+Bug Bounty programs incentivize external security researchers to report vulnerabilities in an organization's systems, websites, or applications.
+
+## Concept
+Bug Bounty（漏洞赏金）计划通过向外部安全研究人员提供奖励，激励他们报告组织系统、网站或应用程序中的漏洞。
+
+## How It Works
+
+### Program Setup
+1. 定义范围（Scope）
+2. 制定规则和奖励表
+3. 建立提交和处理流程
+4. 部署公开平台或使用第三方服务
+
+### Researcher Workflow
+```
+发现漏洞 → 提交报告 → 厂商验证 → 确认/分类 → 修复 → 发放奖励
+```
+
+## Benefits
+
+### For Organizations
+- 扩展安全测试覆盖面
+- 成本效益比聘请专职安全团队更高
+- 获得多样化的安全研究人员视角
+- 提高安全响应能力
+
+### For Researchers
+- 获得经济奖励
+- 建立安全研究声誉
+- 学习真实环境漏洞
+
+## Platforms
+- HackerOne
+- Bugcrowd
+- Open Bug Bounty
+- 厂商自有平台（Google VRP, Microsoft Bounty）
+
+## Best Practices
+
+### For Program Owners
+1. 清晰的规则和范围定义
+2. 公平的奖励机制
+3. 快速响应提交
+4. 透明的沟通
+5. 法律保护（Safe Harbor）
+
+### Responsible Disclosure
+- 给厂商合理时间修复
+- 不公开漏洞细节直到修复
+- 遵循协调漏洞披露（CVD）
+
+## Related Concepts
+- [[DevSecOps]] — Bug Bounty 是持续安全改进的一部分
+- [[Penetration-Testing]] — 正式渗透测试
+- [[Vulnerability-Scanning]] — 自动化漏洞扫描
+- [[Incident-Response]] — 漏洞响应
+- [[Responsible-Disclosure]] — 负责任披露
+
+## Sources
+- [[what-is-devsecops-best-practices-benefits-and-tools]]