Bug bounty-исследователь.

Независимый исследователь безопасности, который находит и сообщает уязвимости вендорам через программы bug bounty или скоординированного раскрытия в обмен на денежное вознаграждение и репутацию. Относится к категории Роли и карьера в кибербезопасности.

Независимый исследователь безопасности, который находит и сообщает уязвимости вендорам через программы bug bounty или скоординированного раскрытия в обмен на денежное вознаграждение и репутацию.

Bug bounty-исследователь — это независимый специалист по безопасности, который ищет уязвимости в чётко описанной зоне и сообщает о них через программы bug bounty (HackerOne, Bugcrowd, Intigriti, YesWeHack, собственные программы вендоров) или каналы скоординированного раскрытия. Доход исчисляется по количеству багов и сильно смещён в сторону критических находок: топ-исследователи получают шести- и семизначные выплаты в год, а также призы на live-hacking-мероприятиях. Большинство работает на полной занятости как фриланс или параллельно с основной работой в наступательной безопасности и нередко переходит затем в корпоративный пентест или AppSec у вендоров. Готовой карьерной лестницы нет — репутация складывается из публичных отчётов, упомянутых CVE и write-up. Соблюдение scope и юридического safe harbor, борьба с дублями и качество отчётов критичны для устойчивого заработка.

Защита от Bug bounty-исследователь обычно сочетает технические меры и операционные практики, как описано в определении выше.

Распространённые альтернативные названия: Bug hunter, Охотник за уязвимостями.