Das Ziel eines Bug-Bounty-Programms besteht darin Sicherheitsprobleme durch Crowd-Sourcing aufzudecken. Identifizierte Fehler sollten behoben werden, bevor sie von einem richtigen Angreifer ausgenutzt werden können. Durch das genau definierte Scope haben Security Researcher einen rechtlich abgesicherten Raum für ihre Tests. Ohne diese Rahmenbedingungen mussten Security Researcher mit rechtlichen Konsequenzen rechnen.
Bug-Bounty-Programme können in öffentliche oder geschlossene untergliedert werden. Für gewöhnlich beginnt man mit einem geschlossenen Programm. Dafür wird eine Reihe bewährter Security Researcher eingeladen. In dieser Phase liegt der Fokus auf qualitativ guten Meldungen für Schwachstellen. Der nächste Schritt wäre, das Programm der Öffentlichkeit zugänglich zu machen.
Das Ausführen eines Bug-Bounty-Programms birgt einige Risiken und benötigt Ressourcen für die Bearbeitung der gemeldeten Schwachstellen. Zur Unterstützung eines Unternehmens kann ein Partner mit der Verwaltung des Bug-Bounty-Programms beauftragt werden. Diese Dienstleister begleiten das Unternehmen durch den Einrichtungsprozess. Einige bekannte Dienstleister sind [Hackerone] (https://www.hackerone.com), [bugcrowd] (https://www.bugcrowd.com) und [Zerozopter] (https: //www.zerocopter.com).
Viele Unternehmen haben bereits ein Bug-Bounty-Programm eingeführt, darunter Mozilla, Google, Microsoft und viele mehr. Darüber hinaus wird das Internet Bug Bounty Program (IBB) von einigen großen Unternehmen gesponsert. Die IBB deckt Software wie Python, Ruby, Nginx, Apache ab und erstreckt sich auch auf andere.