Bei Bug Bounty Programmen lobt der Hersteller oder Betreiber einer IT-Lösung Belohnungen für das aufdecken und melden von Sicherheitsmängel aus. Der Wert der Belohnung schwankt je nach Programm und Kritikalität der Schwachstellen, sowie der Qualität der Meldung zwischen T-Shirts und anderen Werbegeschenken, bis hin zu mehreren Millionen Dollar. Ein Bug Bounty Programm kann eine gute Ergänzug zu regelmäßigen Penetrationstests sein, wird diese aber nicht vollständig Ersetzen. Im folgenden sind die Vor- und Nachteile beider Varianten von Sicherheitsprüfungen augelistet:

BugBounty

Vorteile:

• Flexible Preise, Zahlung pro Ergebnis
• Ausnutzbare Schwachstellen
• Große Zahl von Testern mit unterschiedlichen Erfahrungen und Vorgehensweisen

Nachteile:

• Doubletten/False Positvies
• Keine definierte Testabdeckung
• Ergebnisse müssen rasch geprüft und ggf. korrigiert werden

Penetrationstests

Vorteile:

• Definierter und koordinerter Testumfang
• Komplexere Tests sind einfacher umsetzbar
• Interne Tests
• Prüfung von Anforderungen (Compliance)

Nachteile:

• Momentaufnahme / begrenzte Testzeit
• Abhängig von der Qualifikation der Tester