Мешает то, что нельзя заранее оценить, сколько платить за найденную уязвимость. Ни хакер, ни производитель, ни пользователь бажной системы не могут даже приблизительно определить стоимость, пока не изучили суть уязвимости. А после изучения – уже поздно торговаться, карты раскрыты. Остаётся один метод – надеяться на совесть, добрую волю и щедрость "покупателя" уязвимости, которые обычно отсутствуют. Просто потому, что это не человек, а предприятие, юрлицо, бюрократическая машина, лишённая гуманистических качеств, в том числе, упомянутых.
Оттого и не спешат этичные хакеры отдать найденную ошибку на исправление. К тому же, часто есть другой покупатель, на этот раз – без кавычек.
Что за проблема такая? Обе стороны готовы совершить сделку, обеим она может быть выгодна. Но не совершают. Нет механизма договориться.
Продавать товар вслепую, без возможности его изучить и попробовать – эту задачу человечество решает давно. Взять, например, то же заключение брака... Эффективных рецептов такой продажи не найдено. Репутация сторон, оценка посредником, страхование – все эти методы работают в иных обстоятельствах, но тут малоприменимы.
После недолгих, но глубоких