Bug Bounty

Bug Bounty

Run a private or public vulnerability reward program with vetted researchers, structured payouts, and coordinated disclosure — all managed from your dashboard. Ведите приватную или публичную программу вознаграждений с проверенными исследователями, структурированными выплатами и скоординированным раскрытием — всё из дашборда.

Program ManagementУправление программой

Launching a program starts with scope: which assets are in-bounds, which testing techniques are allowed (e.g. no automated scanning, no social engineering), and which findings are explicitly out of scope. Scope can be edited at any time from Bug Bounty → Program → Scope, and changes are versioned so researchers always see what applied when they submitted. Запуск программы начинается со скоупа: какие активы входят в периметр, какие техники тестирования разрешены (например, без автоматического сканирования, без социальной инженерии) и какие находки явно вне скоупа. Скоуп можно редактировать в любой момент в Bug Bounty → Программа → Скоуп, изменения версионируются, чтобы исследователи всегда видели актуальные правила на момент подачи.

Programs can run private (invite-only, vetted researchers — see below) or public. Most teams start private to control volume and researcher quality, then open up once triage capacity is proven. Программы могут быть приватными (только по приглашению, проверенные исследователи — см. ниже) или публичными. Большинство команд начинают с приватной, чтобы контролировать объём и качество исследователей, и открывают её позже, когда доказана способность справляться с триажем.

Researcher VettingОтбор исследователей

Every researcher in a private program is screened before being invited — identity verification, a review of past disclosure history and reputation on other platforms, and in some cases an NDA depending on program sensitivity. Vetting reduces noise: private programs typically see a much higher signal-to-noise ratio in submissions than open public programs. Каждый исследователь в приватной программе проверяется перед приглашением — верификация личности, проверка истории раскрытий и репутации на других платформах, в некоторых случаях NDA в зависимости от чувствительности программы. Отбор снижает шум: приватные программы обычно показывают гораздо более высокое соотношение полезных находок к шуму, чем открытые публичные программы.

Researcher performance is tracked over time — acceptance rate, average severity, and communication quality — and used to prioritise which researchers get early access to new scope. Эффективность исследователей отслеживается со временем — процент принятых отчётов, средняя критичность и качество коммуникации — и используется для приоритизации того, кто получает ранний доступ к новому скоупу.

Rewards & PayoutsНаграды и выплаты

Reward tiers are configured by CVSS severity band (e.g. Critical / High / Medium / Low) under Bug Bounty → Rewards, with a minimum and maximum payout per band. Duplicate submissions are automatically detected against prior reports on the same asset and do not trigger a second payout. Уровни вознаграждения настраиваются по диапазону критичности CVSS (Critical / High / Medium / Low) в Bug Bounty → Награды, с минимальной и максимальной выплатой на диапазон. Дубликаты автоматически определяются относительно предыдущих отчётов по тому же активу и не запускают повторную выплату.

Payouts are released once a finding is triaged and its severity confirmed — not held until the retest. Payment methods and currency are configured once under Settings → Billing and apply across all programs in your organisation. Выплаты производятся после триажа находки и подтверждения критичности — не дожидаясь ретеста. Способ оплаты и валюта настраиваются один раз в Настройки → Биллинг и применяются ко всем программам организации.

Disclosure PolicyПолитика раскрытия

Every program defines a coordinated disclosure timeline — typically 90 days from confirmed fix — during which the researcher agrees not to publish details. Timelines, embargo extensions, and public-disclosure approval are all managed under Bug Bounty → Disclosure. Каждая программа определяет сроки скоординированного раскрытия — обычно 90 дней с момента подтверждённого исправления — в течение которых исследователь обязуется не публиковать детали. Сроки, продление эмбарго и одобрение публичного раскрытия управляются в Bug Bounty → Раскрытие.

If a researcher wants to publish a write-up after the embargo, the request routes to your Admins for approval before it goes live — you always see the draft first. Если исследователь хочет опубликовать разбор после окончания эмбарго, запрос направляется вашим Admin на согласование до публикации — вы всегда видите черновик первым.