Bei Bug Bounty Programmen lobt der Hersteller oder Betreiber einer IT-Lösung Belohnungen für das aufdecken und melden von Sicherheitsmängel aus. Der Wert der Belohnung schwankt je nach Programm und Kritikalität der Schwachstellen, sowie der QUalität der Meldung zwischen T-Shirts und anderen Wergegeschenken bis hin zu mehreren Millionen Dollar. Ein Bug Bounty Programm kann eine gute Ergänzug zu regelmäßigen Penetrationstests sein, wird diese aber nicht vollständig Ersetzen im folgenden sind die Vor- und Nachteile beider Varianten von Sicherheitsprüfungen augelistet:

BugBounty

Vorteile
Flexible Preise, Zahlung pro Ergebnis
Ausnutzbare Schwachstellen
Große Zahl von Testern mit unterschiedlichen Erfahrungen und Vorgehensweisen

Nachteile
Doubletten/False Positvies
Keine definierte Testabdeckung
Ergebnisse müssen rasch geprüft und ggf. korrigiert werden

Penetrationstests

Vorteile
Definierter und koordinerter Testumfang
Komplexere Tests sind einfacher umsetzbar
Interne Tests
Prüfung von Anforderungen (Compliance)

Nachteile
Momentaufnahme / begrenzte Testzeit
Abhängig von der Qualifikation der Tester