Ein Vulnerability Rewards Program (VRP), auch als Bug Bounty Program bezeichnet, ist ein Konzept bei dem Unternehmen Einzelpersonen animieren nach Bugs und Schwachstellen in ihren Programmen zu suchen und dafür finanziell belohnt werden.
An solchen Prämierungsprogrammen, die von vielen Website-Betreibern und Entwicklungsfirmen von Betriebssystemen angeboten werden, nehmen Sicherheitsspezialisten und White-Hat-Hacker teil. Sobald sie eine Schwachstelle entdeckt haben, melden sie diese dem Unternehmen, das dafür eine Belohnung ausgelobt hat. Das Schwachstellendokument muss die Schwachstellen ausreichend dokumentieren, damit die betroffene Organisation oder das Unternehmen diese reproduzieren kann. Die Höhe des ausgelobten Betrags hängt von den zu erwartenden Folgekosten ab, die für die fehlerhafte Software entstehen können und kann zwischen einigen tausend Dollar bis hin zu einer Million Dollar betragen.