Um programa de recompensa por bugs, também chamado de programa de recompensa por vulnerabilidade (VRP), é uma iniciativa de crowdsourcing que recompensa indivíduos por descobrir e reportar bugs de software. Programas de recompensa de bugs são frequentemente iniciados para complementar auditorias internas de código e testes de penetração como parte da estratégia de gerenciamento de vulnerabilidades de uma organização.
Muitos fornecedores de software e websites executam programas de recompensa de bugs, pagando recompensas em dinheiro a pesquisadores de segurança de software e hackers que reportam vulnerabilidades de software que têm o potencial de serem exploradas. Relatórios de bugs devem documentar informações suficientes para que a organização que oferece a recompensa seja capaz de reproduzir a vulnerabilidade. Tipicamente, os valores de pagamento são proporcionais ao tamanho da organização, a dificuldade em hackear o sistema e quanto impacto um bug pode ter nos usuários.
Mozilla pagou uma recompensa fixa de $3.000 por bugs que se encaixam no seu critério, enquanto o Facebook deu até $20.000 por um único relatório de bug. O Google pagou aos relatores de bugs do sistema operacional Chrome um total de $700.000 em 2012 e a Microsoft pagou ao pesquisador britânico James Forshaw $100.000 por uma vulnerabilidade de ataque no Windows 8.1. Em 2016, a Apple anunciou recompensas de no máximo $200.000 por uma falha nos componentes de firmware de inicialização segura do iOS e até $50.000 pela execução de código arbitrário com privilégios de kernel ou acesso não autorizado ao iCloud.
Embora o uso de hackers éticos para encontrar bugs possa ser muito eficaz, tais programas também podem ser controversos. Para limitar o risco potencial, algumas organizações estão oferecendo programas de recompensa por bugs fechados que requerem um convite. Apple, for example, has limited bug bounty participation to few dozen researchers.