Любой организации следует иметь программу раскрытия уязвимостей (vulnerability disclosure program, VDP), в рамках которой независимые исследователи сообщают ей о найденных проблемах в области безопасности, дают определенный срок на исправление (обычно это 90 дней) и, если проблема так и не была устранена, публикуют информацию в открытой печати, указывают авторы CSO Magazine.
Наличие VDP — официальная рекомендация федеральной комиссии по торговле США, а министерство национальной безопасности США в 2019 год опубликовало проект постановления, требующего наличия VDP во всех федеральных гражданских агентствах. Но компании нередко вместо официальной программы VDP используют неофициальные программы выплат премий за поиск уязвимостей. По таким программам исследователям выплачивают деньги, но взамен они подписывают соглашение о неразглашении, информация об уязвимости не публикуется, и нет никаких гарантий того, что проблема будет устранена. Такие программы не регулируются законодательно, для них нет общепринятых стандартов, и для многих компаний, не готовых справляться с потоком сообщений об уязвимостях (действительных или вымышленных), их использование приносит больше вреда, чем пользы.
В последнее время венчурный капитал активно инвестирует в создание коммерческих платформ поиска уязвимостей и выплаты премий (bug bounty platform). Предполагается, что такие платформы будут массово привлекать специалистов по поиску уязвимостей. Одной из них является компания HackerOne, основанная в 2012 году. Как утверждают в компании, в 2019 году 9650 зарегистрированных в HackerOne пользователей подали через платформу корректно оформленные сообщения об уязвимостях. Однако количество пользователей, заработавших за все годы существования платформы больше 100 тыс. долл., составляет несколько сотен, утверждает бывший директор по вопросам политик HackerOne Кэти Моуссорис.
Исследователь, по собственной инициативе занимающийся поиском уязвимостей, рискует также получить иск или даже подвергнуться уголовному преследованию по заявлению компании. Как правило, компании, проводящие программы выплаты премий, обещают не преследовать исследователей, но при условии неразглашения информации. Некоторые исследователи — в их числе, например, известный специалист из группы Google Project Zero Тавис Орманди — отказываются подписывать соглашения о неразглашении.
Платформы выплат премий за поиск уязвимостей, возможно, страдают и от других проблем. По мнению некоторых юристов, работающие на таких платформах исследователи могут считаться наемными работниками, а не независимыми подрядчиками, однако компании не предоставляют им никаких положенных по законам о труде прав и льгот. Далее, работа этих платформ может противоречить требованиям Европейского регламента о защите данных (GDPR) — в соответствии с ним, компания, получившая сообщение об утечке данных (а в ходе поиска уязвимости утечка может произойти), обязана подать уведомление о ней. Наконец, принцип неразглашения информации противоречит стандартам ISO 29147 и ISO 30111, регламентирующим процедуры получения сообщений об уязвимостях, исправления ошибок и публикации сведений.