Definisjon
En bug bounty er et formelt insentivprogram der et prosjekt eller en organisasjon tilbyr belønninger til uavhengige sikkerhetsforskere som identifiserer og rapporterer sårbarheter. I krypto- og blockchain-sammenheng (blockchain) retter bug bounties seg ofte mot kritiske komponenter som smart contracts, protokollogikk og infrastruktur som, hvis de utnyttes, kan føre til tap av midler eller avbrudd i tjenester. Belønninger skaleres vanligvis etter alvorlighetsgrad og konsekvens av det oppdagede problemet, for å oppmuntre til fokus på høyrisikosvakheter. Bug bounties utfyller andre sikkerhetspraksiser, som en sikkerhetsrevisjon, ved kontinuerlig å invitere ekstern gjennomgang av en kodebase som er i utvikling.
Som sikkerhetskonsept definerer en bug bounty et strukturert forhold mellom et prosjekt og white hat-forskere som samtykker til å følge regler for ansvarlig varsling. Programmet spesifiserer vanligvis hvilke systemer som er innenfor omfang, hvilken angrepsflate som kan testes, og hva som kvalifiserer som en gyldig exploit. Det beskriver også juridiske og etiske rammer, slik at testingen ikke går over i ondsinnet aktivitet. I blockchain-økosystemer (blockchain) er bug bounties ofte offentlig dokumentert og kan finansieres i native tokens eller stablecoins.
Kontekst og bruk
Bug bounty-programmer brukes i stor grad av kryptoprotokoller, børser og wallet-leverandører som et løpende forsvarslag mot sikkerhetssvikt. De anerkjenner at selv etter en grundig sikkerhetsrevisjon kan uoppdagede sårbarheter fortsatt finnes i komplekse, uforanderlige smart contract-systemer. Ved å tilby belønninger ønsker prosjekter å kanalisere innsatsen til dyktige forskere mot ansvarlig rapportering i stedet for offentlig utnyttelse. Dette bidrar til å redusere sannsynligheten for at en oppdaget exploit brukes til tyveri eller forstyrrelse.
Innenfor det bredere sikkerhetslandskapet forstås en bug bounty som en proaktiv, markedsbasert mekanisme for å forbedre robustheten i kode. Den står side om side med intern testing, formell verifikasjon og tredjepartsrevisjoner som en del av en «defense in depth»-strategi. I desentralisert finans og andre høyverdige blockchain-applikasjoner (blockchain) signaliserer godt utformede bug bounties at et prosjekt tar sikkerheten sin på alvor og er villig til å samarbeide konstruktivt med sikkerhetsmiljøet. Konseptet har blitt en standardforventning for protokoller som håndterer betydelige verdier på kjeden.