在这些市场类型中，前两个可以使个人安全研究人员受益，但必须由供应商发起。因此，在这种机制下，只有关于参与这种解决方案的供应商的漏洞信息才是有价值的。根据参与程度，这可能会严重阻碍安全研究人员。漏洞经纪人和网络保险不会立即激励个人研究人员。在这两种制度下，很难利用已发现的脆弱性获得收入。

由于目前市场的隐秘性，他们很难找到买家，为信息确定价格，证明漏洞的价值，并用货物换取金钱。最重要的是，在此过程中的任何时候，漏洞都可能被其他人宣布，从而使发现变得毫无价值。存在一些有助于缓解其中一些问题的解决方案，但是它们的实际实施在未来还很遥远。

看看这篇论文：http ://securityevaluators.com/files/slides/cmiller_auscert2008.pdf

衍生品作为一种将 IT 漏洞注入经济力量的解决方案似乎是一个混乱的想法，可能会带来灾难性的后果。在审查中应考虑有关该主题的论文的发表日期。在 2007 年令人兴奋的日子里，在我们现在称为大衰退的肥尾事件之前，风险互换风靡一时。事实证明，在过去的几十年里，我们有很多例子（安然天气期货、抵押信用违约掉期 (CDS) 等），说明衍生品在用于风险缓解时违反直觉的成本。他们实际上并没有降低风险，而是将风险提升到了平流层。

考虑一下在买卖掉期交易中起作用的经济力量，以确定某个漏洞是否会在下个月针对特定目标出现。我可以看到让对冲基金经理创建旨在失败的抵押贷款 CDS 的相同力量，以便他们可以押注他们在这个领域的行动。考虑一下您对发生在一家大型信用卡公司的罕见事件的赌注。该公司可以通过将风险转移给 AIG 的漏洞利用保险来声称他们已承担相关责任。那些 AIG 互换另一方的人的动机是看到罕见的甚至发生。他甚至可以在事件发生的情况下支付数千美元（支付数百万美元作为衍生品的性质），并受到我们试图利用的经济力量的激励，从而产生相反的效果。

除此之外，让我们在这个问题的背景下考虑更多的传统经济力量。提供严重缺陷的软件或硬件的供应商，他们是否不承担与生产偶尔起火的汽车的汽车制造商相同的责任？截至今天，答案是否定的。当我们遇到软件引发的汽车故障时，这种情况将发生有趣的演变，就像我们对丰田的不受控制的加速指控几乎一样。当这种情况发生时，它与 IT 固件或软件相关的事实是否会免除制造商的责任，因为我们认为该责任不有效，因为它具有 COTS 复杂性豁免因素。同样的经济问题也可以问到那些提供服务的人身上，比如我们的银行。

与供应商和服务提供商责任相关的传统经济力量的成熟将受到安全风险衍生品的阻碍。衍生品将激励作恶者进行投机和攻击，并抑制供应商和服务提供商，因为他们将风险（即责任）交给 AIG 进行漏洞交换。

Alfonso De Gregorio 的BeeWise是安全漏洞衍生品市场的部分/测试版实现，使用“玩钱”，并依靠VDB来识别漏洞，并依靠CVSS来指示系统易受攻击的条件。它于 2011 年左右首次实施。

更多信息请参阅BeeWise：Alfonso De Gregorio 在 Prezi 上的 A Futures Market for Fostering Security by Design，它阐明了许多问题，并将使用虚拟货币的市场与使用真钱的市场进行了比较。非经济学家可能会跳过幻灯片第一部分的大部分内容，并使用滑块向前跳到幻灯片 24“漏洞市场：分类法”