Bug Bounty est un système de crowdsourcing conçu pour récompenser la divulgation responsable des vulnérabilités logicielles. Le système permet aux individus, aux organisations et aux entreprises de récompenser intentionnellement les chercheurs et les experts en sécurité qui ont découvert et signalé des insécurités dans leurs logiciels, souvent via un programme de primes en ligne. Il s'agit d'une ressource de sécurité de plus en plus populaire, en particulier auprès des producteurs de logiciels.
Dans les programmes traditionnels de bug bounty, un professionnel de la sécurité ou un amateur recherchera activement les vulnérabilités de sécurité, souvent aidés par des scanners Web automatisés et une analyse du code source. Une fois découverts, ils contacteront généralement le vendeur afin d'archiver une récompense mutuellement acceptée. Ces récompenses peuvent aller de quelques crédits à des récompenses plus importantes, certaines entreprises offrant des récompenses de plusieurs dizaines de milliers de dollars.
De plus, les services de bug bounty sont souvent utilisés par les développeurs et les éditeurs de logiciels comme alternative aux tests d'intrusion coûteux. Par rapport aux méthodes traditionnelles de test d'intrusion, les programmes de bug bounty permettent aux producteurs de logiciels de réaliser des économies, tout en garantissant que les vulnérabilités potentielles sont identifiées et corrigées en temps opportun.
Avec leur popularité croissante, les programmes de bug bounty gagnent également du terrain dans le secteur gouvernemental et dans les entreprises. En utilisant la foule, les programmes de bug bounty augmentent la portée potentielle de leurs tests de sécurité, avec la conviction que plus le réseau de rapporteurs potentiels est large, plus les vulnérabilités peuvent être découvertes.
Dans l’ensemble, les programmes de bug bounty sont conçus pour motiver et responsabiliser les membres du public afin d’améliorer la sécurité des logiciels et du matériel sur Internet. En récompensant la divulgation responsable, les programmes de bug bounty encouragent les signaleurs de vulnérabilités de tous niveaux à contribuer à la protection contre les menaces qui autrement pourraient passer inaperçues.