Comments 1
Собственно, если кто-то из них займётся этим в свободное время, то мы не против и желаем им удачи. Главное только, чтобы это их от основной работы не отвлекало :)
Мне кажется, это странный подход. Во-первых, если ваш сотрудник найдёт реальный баг и получит баунти, это хороший маркетинговый результат. Одно дело теоретическая возможность, а другое — реальная проблема, которую авторы продукта посчитали достаточно значимой, чтобы оплатить. Этим вполне можно хвастаться. А во-вторых, это тестирование. Проверяя новые проекты всегда находишь, что бы улучшить в анализаторе. Где-то видишь ложную сработку и понимаешь, что её можно исключить статически. Где-то сработка нормальная, но сообщение о баге можно улучшить. Где-то вместо двух варнингов разумно выдать один, чтобы уменьшить количество шума. Поэтому мне кажется вполне допустимым, если сотрудники долю рабочего времени (например, до десяти процентов) тратить на поиск багов в проектах, возможно даже получая за это вознаграждение. Относитесь к этому как владелец ресторана относится к чаевым, которые получают официанты.
PVS-Studio и Bug Bounties on Free and Open Source Software