How to Make My Bug Bounty Cost-Effective? A Game-Theoretical Model

计算机科学 博弈论 万维网 微观经济学 经济
作者
Leting Zhang,Emre M. Demirezen,Subodha Kumar
出处
期刊:Information Systems Research [Institute for Operations Research and the Management Sciences]
卷期号:36 (2): 1031-1053 被引量:2
标识
DOI:10.1287/isre.2021.0349
摘要

A bug bounty program (BBP) is an innovative crowdsourcing security solution increasingly adopted by organizations. We use a game-theoretical model to analyze how key characteristics impact BBPs and offer practical insights into managing a BBP as part of an organization’s vulnerability management for better cost-effectiveness. Our findings indicate that organizations with high patching complexity should announce lower bounties, especially if they face limited security resources. BBPs should complement, not substitute, an organization’s security characteristics. Evaluating patching complexity and security posture is crucial when designing a BBP. Furthermore, security researchers drive BBP performance. Higher productivity in researchers doesn’t always require higher bounties even with high postdiscovery costs. Novice productivity can increase total costs if unit postdiscovery costs are high, whereas expert productivity consistently reduces costs. Organizations should disclose high-level product and information technology (IT) features to increase expert productivity. The number of security researchers in a BBP is important, but increasing their numbers doesn’t always necessitate higher bounties. A larger crowd may not always be cost-effective. Lastly, enhanced legal protection for security researchers might not increase organizational risks, especially in organizations with robust security or less sophisticated IT infrastructure. Industrial associations and policymakers should consider these factors in standards and legal frameworks.
最长约 10秒,即可获得该文献文件

科研通智能强力驱动
Strongly Powered by AbleSci AI
科研通是完全免费的文献互助平台,具备全网最快的应助速度,最高的求助完成率。 对每一个文献求助,科研通都将尽心尽力,给求助人一个满意的交代。
实时播报
碘苯发布了新的文献求助10
刚刚
坚定的若枫完成签到,获得积分10
刚刚
刚刚
猪美丽完成签到,获得积分10
1秒前
LEON完成签到,获得积分10
1秒前
meimale完成签到,获得积分10
1秒前
3秒前
弎夜完成签到,获得积分10
4秒前
Haru完成签到,获得积分10
4秒前
世外完成签到,获得积分10
4秒前
靳童发布了新的文献求助10
4秒前
踏实的烙完成签到,获得积分10
4秒前
知性的猎豹完成签到,获得积分10
5秒前
zz完成签到 ,获得积分10
5秒前
wuxin完成签到,获得积分10
6秒前
iPhone7跑GWAS完成签到,获得积分10
6秒前
Puffkten完成签到 ,获得积分10
6秒前
7秒前
shouyu29发布了新的文献求助10
7秒前
SciGPT应助幸福耷采纳,获得200
7秒前
听风雨完成签到 ,获得积分10
7秒前
xxx完成签到,获得积分20
8秒前
8秒前
852应助踏实的烙采纳,获得10
8秒前
清爽念文完成签到,获得积分10
9秒前
聪慧的若山完成签到,获得积分10
9秒前
冲冲冲完成签到,获得积分10
10秒前
laoleigang完成签到,获得积分10
10秒前
Lam完成签到,获得积分10
11秒前
mk完成签到,获得积分10
11秒前
柔弱烨磊完成签到 ,获得积分10
12秒前
问柳完成签到,获得积分10
12秒前
小太阳完成签到,获得积分10
12秒前
Bob完成签到 ,获得积分10
12秒前
12秒前
Lychee完成签到,获得积分10
13秒前
研友_ZbMNPn完成签到,获得积分10
13秒前
强公子完成签到,获得积分10
13秒前
活力蘑菇完成签到 ,获得积分10
13秒前
常风完成签到,获得积分10
14秒前
高分求助中
Principles of Economics, 11th Edition 10000
University Physics with Modern Physics, 16th edition 10000
(应助此贴封号)【重要!!请各用户(尤其是新用户)详细阅读】【科研通的精品贴汇总】 10000
Matrix Methods in Data Mining and Pattern Recognition 510
Social Skills Improvement System-Rating Scales--Chinese Version 500
Dynamische Polarisation von H-1 und B-11 in (CH-3)-3NBH-3 500
CLSI M07 2024 500
热门求助领域 (近24小时)
化学 材料科学 医学 生物 纳米技术 工程类 有机化学 化学工程 生物化学 计算机科学 内科学 物理 复合材料 催化作用 细胞生物学 无机化学 光电子学 物理化学 电极 基因
热门帖子
关注 科研通微信公众号,转发送积分 7247848
求助须知:如何正确求助?哪些是违规求助? 8870822
关于积分的说明 18713135
捐赠科研通 6926754
什么是DOI,文献DOI怎么找? 3198067
关于科研通互助平台的介绍 2373832
邀请新用户注册赠送积分活动 2172936