Opinioni che penso non dovrebbero essere opinioni forti, e dovrebbero essere "la norma" 1. La piattaforma del concorso è in ultima analisi responsabile del pagamento. È la piattaforma del concorso che promette il pagamento, quindi se una piattaforma non paga, indipendentemente dal dramma, è colpa della piattaforma. 2. Gli auditor sono i lavoratori e dovrebbero essere trattati con lo stesso rispetto che riserveresti a qualcuno del tuo team. Cambiare le regole in mezzo a una revisione, permettere al tuo team di essere sfruttato consentendo ai clienti di rifiutare le sottomissioni per qualsiasi motivo, o addirittura dare l'opportunità a un cliente di rovinare l'integrità di un concorso (condividere risultati che potrebbero essere trapelati prima della fine del concorso, permettere al protocollo di risolvere il bug e poi chiudere il problema perché "oh, ora è risolto") non è accettabile. Team > Cliente. Con questo, finisci per dare al cliente un output migliore perché il team si preoccupa davvero. Cambiare le regole di una competizione che paga in denaro potrebbe anche essere considerato illegale in alcuni casi. 3. Gli accordi di esclusività sulle piattaforme di bounty sono l'antitesi della sicurezza. Immagina di trovare un critico attivo e di non poterlo segnalare perché hai un accordo di esclusività. 4. Nonostante tutto ciò, i bug bounty e le audit competitive sono ancora il modo migliore per entrare nel settore. Non lasciare che questo sia l'alibi che dai alle piattaforme per trattarti male, ma tieni anche presente che molti di loro stanno facendo del loro meglio. A meno che non violino una delle affermazioni che ho fatto sopra, nel qual caso potrebbero non farlo.