یکی از چالش برانگیزترین مراحل هنگام اجرای برنامهbug Bounty  ، اغلب تعیین میزان پاداش است. دلیل این امر این است که عوامل بسیاری در این فرآیند دخیل هستند.

هدف اصلی بانتی ، پاداش است

حداقل باید مبلغی براساس شدت کلی آسیب پذیری امنیتی ارزیابی شود. دلیل این امر به این دلیل است که شما سعی می کنید هکرها را تشویق کنید که یافته های خود را مستقیماً به شما گزارش دهند نه اینکه آنها را به شخص ثالث بفروشند یا حتی از این اشکال استفاده کنند. یکی از معیارهای گسترده ای که برای ارزیابی شدت آسیب پذیری امنیتی استفاده می کنند سیستم رایج امتیاز دهی آسیب پذیری (CVSS) است.

تیم پشتیبان برنامه باگ بانتی باید بتواند نمرات CVSS را درک کند و آنها را بر اساس گزارش محاسبه کند. توجه به این نکته ضروری است که شدت کلی در CVSS شامل هر سه گروه متریک – Base Score, Environmental Score,Temporal Score است – و در ارزیابی ارزش گذاری گزارش برای پاداش باید هر سه مورد در نظر گرفته شود.

CVSS به هیچ وجه کامل نیست ، اما در حال حاضر گزینه های بسیار کمی وجود دارد ، بنابراین تا انتشار یک راه حل جدید ، ما از این سیستم متریک استفاده می کنیم.

 

ساختار

همانطور که در “ریاضیات پشت پرده باگ باونتی- فرمولی برای محاسبه مبلغ پاداش” مشاهده می شود ، یکی از راه های ایجاد یک ساختار واضح هنگام محاسبه مبالغ پرداختی ، صرفاً با استفاده از یک فرمول ریاضی است. فرمول ارائه شده در قطعه حداکثر مقدار پاداش برنامه شما و یک نمایشگر را به عنوان ورودی می گیرد. سپس مقدار پاداش را به کلیت یافته نقشه می کشد. خروجی لیستی از مقادیر پاداش با نمره شدت مربوط به آنها است.

 

رقابت

جنبه دیگری که هنگام تعیین مبلغ پاداش باید در نظر گرفته شود ، رقابت است. اگر واقعاً می خواهید شکارچیان برتر را برای شرکت در برنامه خود ترغیب کنید ، مبالغ رقابتی پاداش یکی از راههای جذب این شکارچیان بسیار ماهر است.