Black Hat Briefings/DefConにタイミングを合わせて、ホワイトハッカーにセキュリティホール情報を求める賞金プログラムが次々と発表されている。

3Com傘下のTippingPointは「Zero Day Initiative (ZDI)」を発表した。これは航空会社のマイレッジプログラムに似たシステムである。メンバーがセキュリティホールを報告すると賞金が支払われるほかに、ポイントが加算され、年間の総合ポイントでランク付けが行われる。たとえば最高位の"プラチナ"メンバーにランクされると、ランクインに対する2万ドルのボーナス、Black Hat/DefCon招待のほか、脆弱性などを報告する度に25%の自動ボーナスポイントが加算されるようになる。

報告されたセキュリティホールは、TippingPointが企業に対応を働きかける。また同社は、集められた情報をセキュリティ・コミュニティで幅広く共有できる体制を築くという。

VeriSignが買収したiDEFENSEは、すでに提供している賞金プログラム「Vulnerability Contributor Program (VCP)」のボーナス賞金を増額した。これまでは四半期ごとのトップ3に対して3000ドル / 2000ドル / 1000ドルを提供していたが、これを5000ドル / 3000ドル / 1000ドルに引き上げた。また5000ドル / 4000ドル / 3000ドル / 2000ドル / 1000ドルだった年間のトップ5に対する賞金を倍増させた。

賞金プログラムは、より迅速なセキュリティ対策が可能になるほか、セキュリティ・リサーチファームにとっては競争力の維持やコスト削減につながる。またホワイトハッカーの場合は、脆弱性を発見して企業に指摘しても、対応してもらえなかったり、訴訟を起こされることすらある。賞金プログラムを通じてリサーチファームに企業との交渉を請け負ってもらえば、セキュリティ研究をビジネスとして確立できる。そのため、セキュリティホールの発見ごとに払われる賞金よりも、実績が評価対象となる格付け制度やボーナスプログラムが重視される傾向がある。