Määritelmä
Bug bounty on virallinen kannustinohjelma, jossa projekti tai organisaatio tarjoaa palkkioita riippumattomille tietoturvatutkijoille, jotka tunnistavat ja raportoivat haavoittuvuuksia. Krypton ja lohkoketjujen (blockchain) kontekstissa bug bounty -ohjelmat kohdistuvat tyypillisesti kriittisiin osiin, kuten smart contracteihin, protokollalogiikkaan ja infrastruktuuriin, joiden hyväksikäyttö voisi johtaa varojen menetykseen tai palveluiden häiriöihin. Palkkioiden suuruus skaalautuu yleensä löydetyn ongelman vakavuuden ja vaikutuksen mukaan, mikä kannustaa keskittymään korkean riskin haavoittuvuuksiin. Bug bounty -ohjelmat täydentävät muita tietoturvakäytäntöjä, kuten tietoturva-auditointia, tarjoamalla jatkuvan ulkopuolisen tarkastelun kehittyvälle koodipohjalle.
Tietoturvakäsitteenä bug bounty määrittelee strukturoitun suhteen projektin ja niin sanottujen white hat -tutkijoiden välille, jotka sitoutuvat noudattamaan vastuullisen ilmoittamisen sääntöjä. Ohjelmassa määritellään yleensä, mitkä järjestelmät kuuluvat ohjelman piiriin, mikä hyökkäyspinta-ala on testattavissa ja millainen löydös kelpaa palkkioon oikeuttavaksi exploitiksi. Siinä kuvataan myös oikeudelliset ja eettiset rajat, jotta testaaminen ei muutu haitalliseksi toiminnaksi. Lohkoketjujen (blockchain) ekosysteemeissä bug bounty -ohjelmat dokumentoidaan usein julkisesti, ja niitä voidaan rahoittaa natiivilla tokeneilla tai stablecoineilla.
Konteksti ja käyttö
Bug bounty -ohjelmia käyttävät laajasti kryptoprotokollat, pörssit (CEX/DEX) ja wallet-palveluntarjoajat jatkuvana puolustuskerroksena tietoturvavirheitä vastaan. Niissä tunnustetaan, että jopa perusteellisen tietoturva-auditoinnin jälkeen monimutkaisiin, muuttumattomiin smart contract -järjestelmiin voi jäädä havaitsemattomia haavoittuvuuksia. Tarjoamalla palkkioita projektit pyrkivät ohjaamaan osaavien tutkijoiden työn vastuulliseen raportointiin julkisen hyväksikäytön sijaan. Tämä pienentää todennäköisyyttä, että löydettyä exploittia käytetään varkauteen tai häirintään.
Laajemmassa tietoturvakehyksessä bug bounty ymmärretään proaktiiviseksi, markkinapohjaiseksi mekanismiksi koodin luotettavuuden parantamiseksi. Se täydentää sisäistä testausta, formaalia verifiointia ja ulkopuolisia tarkastuksia osana kerroksellista puolustusstrategiaa (defense in depth). Hajautetussa rahoituksessa ja muissa korkean arvon lohkoketjusovelluksissa (blockchain) hyvin suunnitellut bug bounty -ohjelmat viestivät, että projekti suhtautuu tietoturvaansa vakavasti ja on valmis tekemään rakentavaa yhteistyötä tietoturvayhteisön kanssa. Konseptista on tullut vakiintunut odotus protokollille, jotka hallinnoivat merkittävää on-chain-arvoa.