nexus/wiki/concepts/Bug-Bounty.md

Bug Bounty

Definition

Bug Bounty programs incentivize external security researchers to report vulnerabilities in an organization's systems, websites, or applications.

Concept

Bug Bounty（漏洞赏金）计划通过向外部安全研究人员提供奖励，激励他们报告组织系统、网站或应用程序中的漏洞。

How It Works

Program Setup

1. 定义范围（Scope）
2. 制定规则和奖励表
3. 建立提交和处理流程
4. 部署公开平台或使用第三方服务

Researcher Workflow

发现漏洞 → 提交报告 → 厂商验证 → 确认/分类 → 修复 → 发放奖励

Benefits

For Organizations

• 扩展安全测试覆盖面
• 成本效益比聘请专职安全团队更高
• 获得多样化的安全研究人员视角
• 提高安全响应能力

For Researchers

• 获得经济奖励
• 建立安全研究声誉
• 学习真实环境漏洞

Platforms

• HackerOne
• Bugcrowd
• Open Bug Bounty
• 厂商自有平台（Google VRP, Microsoft Bounty）

Best Practices

For Program Owners

1. 清晰的规则和范围定义
2. 公平的奖励机制
3. 快速响应提交
4. 透明的沟通
5. 法律保护（Safe Harbor）

Responsible Disclosure

• 给厂商合理时间修复
• 不公开漏洞细节直到修复
• 遵循协调漏洞披露（CVD）

Related Concepts

• DevSecOps — Bug Bounty 是持续安全改进的一部分
• Penetration-Testing — 正式渗透测试
• Vulnerability-Scanning — 自动化漏洞扫描
• Incident-Response — 漏洞响应
• Responsible-Disclosure — 负责任披露

Sources

• what-is-devsecops-best-practices-benefits-and-tools