Un programma di ricompensa dei bug, chiamato anche programma di ricompensa delle vulnerabilità (VRP), è un'iniziativa di crowdsourcing che premia le persone per la scoperta e la segnalazione di bug del software. I programmi di bug bounty vengono spesso avviati per integrare i controlli interni del codice e i test di penetrazione come parte della strategia di gestione delle vulnerabilità di un'organizzazione.
Molti fornitori di software e siti web eseguono programmi di bug bounty, pagando premi in denaro a ricercatori di sicurezza del software e hacker white hat che segnalano vulnerabilità del software che hanno il potenziale per essere sfruttate. Le segnalazioni di bug devono documentare informazioni sufficienti per consentire all'organizzazione che offre la ricompensa di essere in grado di riprodurre la vulnerabilità. In genere, gli importi dei pagamenti sono commisurati alle dimensioni dell'organizzazione, alla difficoltà di hackerare il sistema e all'impatto che un bug potrebbe avere sugli utenti.
Mozilla ha pagato una taglia forfettaria di $ 3,000 per i bug che soddisfano i suoi criteri, mentre Facebook ha distribuito fino a $ 20,000 per una singola segnalazione di bug. Google ha pagato ai giornalisti di bug del sistema operativo Chrome 700,000 $ combinati nel 2012 e Microsoft ha pagato il ricercatore britannico James Forshaw $ 100,000 per una vulnerabilità di attacco in Windows 8.1. Nel 2016, Apple ha annunciato premi fino a $ 200,000 per un difetto nei componenti del firmware di avvio sicuro iOS e fino a $ 50,000 per l'esecuzione di codice arbitrario con privilegi del kernel o accesso iCloud non autorizzato.
Sebbene l'uso di hacker etici per trovare bug possa essere molto efficace, tali programmi possono anche essere controversi. Per limitare il rischio potenziale, alcune organizzazioni offrono programmi di ricompensa di bug chiusi che richiedono un invito. Apple, ad esempio, ha una partecipazione limitata ai bug bounty a poche decine di ricercatori.