有多种方法可以促进软件漏洞的发现和修复。向研究人员提供补偿的最常见方式是漏洞赏金（由供应商运营）和漏洞经纪人（他们买卖适用于流行软件的漏洞信息）。这些在软件漏洞披露的市场方法比较 (2006)中有详细描述由 Rainer Böhme 撰写，但他指出，它们每个都存在严重缺陷，并且不会导致我们处理不安全软件的巨大问题所需的那种研究投资或供应商参与。不向供应商发布漏洞利用程序的黑帽漏洞经纪人向黑帽研究人员支付的费用比道德经纪人高得多（10 倍？）。结果是大部分研究都进入了地下，导致互联网不安全而不是安全。

我认为 Böhme 关于利用衍生品的提议是一种非常有前途的市场形式，可以探索，以实现您所说的。它为研究人员提供了一种通过发现漏洞而无需以危险方式披露漏洞来赚钱的方法。正如 Böhme 所写：

考虑一个合同，如果在定义的平台上存在针对精确指定版本的 ssh 的远程 root 漏洞利用，则在 2006 年 6 月 30 日向其所有者支付 100 欧元的总和。发行这种联系方式很容易，因为如果 ssh 程序在到期日内没有损坏，您可以将其与反向合约捆绑出售，该合约支付 100 欧元。然后，不同的各方可以在电子交易平台上交易合约，匹配买卖价格，完成交易并发布报价。

[这种市场会吸引各种各样的市场参与者：]

软件用户会要求合同支付违约金，以对冲他们因计算机网络而面临的风险......

软件供应商可以要求在他们的软件保持安全的情况下支付合同，以此向客户表明他们信任自己的系统；或者如果他们的竞争对手的软件出现故障则支付的合同......

软件供应商[可以]将漏洞利用衍生品作为其补偿计划的一部分，以激励开发人员保护编程......

最后，安全专家可以利用市场来利用安全分析的努力。如果在代码审查之后，他们认为软件是安全的，他们可以以高于市场价格的价格购买处于安全状态的合约。

它们是“二元期权”对安全事件的应用。有关更多详细信息，请参阅Micah Schwalb 的Exploit Derivatives & National Security 。

正如 Schwalb 所讨论的那样，主要问题似乎是在不同的司法管辖区可以使用各种法律来抑制有关漏洞的信息的流动，因此这是有待解决的问题，他提出了一个使这种市场试点成为可能的想法通过为新兴的重要但有风险的 ipv6 漏洞世界制定法律例外。

请参阅此站点上的其他选项和更多讨论：软件漏洞披露的市场方法进展？- IT安全

有几个网站支持道德披露。该运动通常被称为“No More Free Bugs”

谷歌搜索同样的结果显示了这个看起来合法的赏金/奖励网站列表，当然我不能保证所有这些......

http://blog.nibblesec.org/2011/10/no-more-free-bugs-initiatives.html