Acho que os melhores caçadores de bugs deveriam ser recompensados pelas plataformas de recompensas de bugs com DATA. Quero saber quais projetos realmente valem meu tempo para auditar, e não perder horas em tentativas e erros. Dê-nos uma lista transparente de projetos que realmente se preocupam com a segurança. Isso economizaria muito tempo e levaria a descobertas muito mais valiosas, uma vitória para todos. Aqui estão alguns parâmetros, por exemplo: Tempo médio real de resposta de triagem Tempo médio de pagamento Severidade média aceita Porcentagem de duplicatas vs. relatórios válidos Número de relatórios resolvidos vs. abertos Última recompensa paga / data do último relatório Pagamento mediano por relatório válido Pagamento máximo por tipo de vulnerabilidade Tendência histórica de recompensas % de relatórios marcados como “Informativo” O MAIS IMPORTANTE DE TUDO: Presença de uma equipe de segurança dedicada, que deve ser avaliada pelos pesquisadores de segurança que foram pagos no final desse programa. Eu pagaria de bom grado do meu bolso ou uma porcentagem de todas as minhas descobertas para obter esses dados. Isso faria uma enorme diferença, pelo menos para mim.