有几种方法可以解决这个问题：

首先，金钱奖励是一种很好的激励措施，但如果您负担不起，则需要为他们提供其他类型的奖励。我认为在您的站点/应用程序上创建一个特殊页面，并创建一个发现漏洞的人的“名人堂”列表。

我还建议您考虑举办 CTF 竞赛，并在 CTF 中包含应用程序功能的部分（或者只是让 CTF 关于谁可以在您的实际应用程序中找到最多的漏洞）。当您有获奖者名单时，将其公开发布并保留，以便人们以后可以参考。

如果您决定执行上述任一操作，请确保将其公开并详细说明您的意图/期望的结果，正如 Evan 建议的那样，将其发布到安全邮件列表可能有助于吸引注意力。

但正如特里所说，如果你建造它，无论如何最终都会有人来尝试破坏它！

布鲁斯·施奈尔（Bruce Schneier）曾经说过让公民报告可疑活动：“如果你依赖业余调查人员，当你得到业余安全时不要感到惊讶。” 因此，要么安全性对您的项目很重要，要么不重要。

您可以做一些事情来至少寻求专业帮助。使用专业的静态代码分析工具检查您的代码库。Coverity 提供对开源项目的免费扫描，所以请使用它们。找到 OWASP 的当地分会，看看他们是否有愿意捐赠时间的成员。请与您的项目团队可能有关联的大学或学校联系，因为他们可能有一个对挑战感兴趣的安全课程。

没有激励措施的公开挑战不会产生对项目安全性的实际信心。如果您的项目很有价值，那么您应该为未来的客户现在认真对待它。