バグバウンティとは、企業が自社の製品であるソフトウェアを公開し、セキュリティ上の脆弱性が悪意のある攻撃者に悪用される前に、その脆弱性を特定、報告したハッカーに対して報奨金を支払う仕組みのことです。バグ報奨金制度とも呼ばれます。
バグバウンティの仕組み自体は数十年前から存在しましたが、近年になって主に海外のT企業がバグバウンティを導入する取り組みが増えてきています。暗号資産の分野でも、プロトコルの開発者以外に暗号資産 (仮想通貨) 取引所やウォレットの運営といった暗号資産 (仮想通貨) 事業者が、バグバウンティによる報奨金を提供しています。
多くの場合、報奨金の額は特定された脆弱性の重要度に応じて評価されます。特定された脆弱性が重大なものだった場合、10,000ドル以上の報奨金が発生することもあります。
企業や開発者にとって最も重要なのは、プロダクトをリリースする前に、脆弱性を最小限に抑えることです。ただし、多くのデバッグを行ったとしても見逃されるバグは存在し、これらのいくつかはセキュリティリスクをもたらします。つまりバグバウンティは、ソフトウェアの所有者とユーザーを悪意のある人物から保護する第二の防衛ラインとして機能しているのです。
