I bug di sicurezza legati alla sicurezza sono solitamente più di un evento PR che un tentativo di esternalizzare un controllo di sicurezza. Il messaggio che vogliono comunicare è "Il nostro software è sicuro, e siamo così sicuri che scommettiamo su $$$$$ che nessuno può trovare una vulnerabilità".
Quando un'azienda mette una taglia del bug, si può presumere che abbia anche letto la letteratura standard sui test di penetrazione e abbia già corretto le vulnerabilità che è possibile trovare con i metodi usuali. Quando un principiante può trovare i suoi bug, l'offerta di bug bounty diventerebbe sia costosa che negativa per PR.
Quando ti piace cercare vulnerabilità, vuoi migliorare le tue competenze e vuoi fare del bene mentre lo fai, potresti prendere in considerazione di sostenere alcuni progetti open source più piccoli che non hanno le risorse per un controllo di sicurezza. Non verrai pagato, ma raccoglierai preziose esperienze.
Una "prova di concetto" per una vulnerabilità è una dimostrazione che mostra che l'errore si verifica. Questo dimostra che il bug è davvero lì e non solo un approccio teorico. Può essere una serie di istruzioni come "Fai clic qui, fai clic qui, inserisci quello, poi cancle, fai clic qui, batti due volte le mani e hai accesso come amministratore". Oppure può essere un exploit: un programma che causa il comportamento anomalo dell'applicazione quando viene eseguito. Quando si prova un bug con un exploit, solitamente ci si aspetta che tu non fornisca semplicemente il binario ma anche il codice sorgente e una spiegazione su come funziona.