Выплачивать деньги за уязвимости собирается Secunia (Давно всеми любимая "Сыкунья").

Корпорация Secunia запустила еще одну программу вознаграждения за обнаружение уязвимостей, Secunia Vulnerability Coordination Reward Program, которая, по ее словам, разработана, чтоб действовать независимо от отдельных изготовителей ПО.

Корпорация высказалась, что идея заключается в облегчении жизни исследователям. Это будет происходить путем концентрации отчетов об уязвимостях в одних руках вместо того, чтоб иметь дело с процедурами отчетности и программами вознаграждения многочисленных изготовителей.

Программы изготовителей, по заверениям компании, обычно, характеризуются "бизнес-моделью, обернутой кругом них", следовательно, и, они могут быть избирательными в присуждении наград за обнаруженные баги. Программа Secunia примет любую уязвимость в имеющемся в продаже ПО.

В блоге сотрудник Secunia Карстен Эйрам подчеркнул, что "фан" исследования заключается скорее в обнаружении уязвимости или создании эксплойта, в не в "периодической экстенсивной координации и общении" с вендорами.

Он подчеркнул, что в рамках этой программы Secunia будет "как подтверждать обнаруженные уязвимости, так и руководить процессом координации"

.
Сервис, по заверениям компании, может к тому же наполнить пробел для ученых, которые не желают продавать свои уязвимости или не желают ограничивать свои исследования теми багами, которые соответствуют "требованиям существующих программ".

Чаще вместо денег Secunia будет предлагать в качестве награды товары и 2 "больших ежегодных вознаграждения" - размещение в гостинице и вход на основные конференции безопасности.

Критерии программы таковы: требуется, чтоб уязвимость затрагивала стабильный продукт, и последнюю версию продукта; продукт должен иметь активную сервисную поддержку поставщика; еще 2 обязательных фактора - уязвимость обязана быть необнародованной, и обязана иметься возможность ее репликации Secunia.

P.S. Вообще-то молодец эта "Сыкунья" правильный подход к проблемме, да халявщикам будет интересно.