Сколько стоит баг?

Это обстоятельство крайне мешает такому полезному предприятию, как оплата добр охакерам за найденные ошибки. На хакерском краудсорсинге можно было бы даже систему государственной сертификации построить, не говоря о банальном предотвращении мошенничества и утечек.

Мешает то, что нельзя заранее оценить, сколько платить за найденную уязвимость . Ни хакер, ни производитель, ни пользователь бажной системы не могут даже приблизительно определить стоимость, пока не изучили суть уязвимости. А после изучения – уже поздно торговаться, карты раскрыты. Остаётся один метод – надеяться на совесть, добрую волю и щедрость "покупателя" уязвимости, которые обычно отсутствуют. Просто потому, что это не человек, а предприятие, юрлицо, бюрократическая машина, лишённая гуманистических качеств, в том числе, упомянутых.

Оттого и не спешат этичные хакеры отдать найденную ошибку на исправление. К тому же, часто есть другой покупатель, на этот раз – без кавычек.

Что за проблема такая? Обе стороны готовы совершить сделку, обеим она может быть выгодна. Но не совершают. Нет механизма договориться.

Продавать товар вслепую, без возможности его изучить и попробовать – эту задачу человечество решает давно. Взять, например, то же заключение брака... Эффективных рецептов такой продажи не найдено. Репутация сторон, оценка посредником, страхование – все эти методы работают в иных обстоятельствах, но тут малоприменимы.

После недолгих, но глубоких измышленийраздумий ваш покорный слуга нашёл решение. Оно состоит в распространении на найденные уязвимости авторского или патентного права, либо введении отдельного раздела интеллектуальной собственности для багов. При этом найденную уязвимость законом запрещается устранятьбез разрешения правообладателя, т.е. лица, её нашедшего и/или зарегистрировавшего. А имея указанную защиту права, они (хакер и производитель) поторгуются в условиях полной ясности и наверняка договорятся.