漏洞赏金计划公开后可以期待什么?
您提问,我们回答。
在Intigriti,我们一直密切关注那些已经建立漏洞赏金计划的人最常提出的问题。这就是为什么我们推出了这个博客系列,致力于回答最常见的问题,深入探讨热门话题,并分享实用且专家支持的策略,以帮助您最大化漏洞赏金计划的成功。
在今天的博客中,我们将看看在将漏洞赏金计划公开后可能会发生什么,以便您对预期情况有一个清晰的了解,并帮助您的团队为成功做好准备。
第一阶段:提交量激增
这可能是您漏洞赏金之旅的开始,或者您可能已经建立了一个私有计划。无论哪种方式,公开计划通常会引发一系列事件,通常从提交量激增开始。
在将漏洞赏金计划公开后的头一两个月内,随着研究人员立即涌入测试您的环境,提交量出现激增是很常见的。
"当您在平台上建立公共漏洞赏金计划时,您将立即获得一个全球性的众包道德黑客社区。" – 《什么是持续安全测试?》
虽然其中一些提交是有效的,但随着更多研究人员的加入,重复报告也会急剧增加。您可以预期会收到多个关于相同漏洞的报告,以及识别常见漏洞的低价值提交,这些提交可以带来快速的成功,但无法提供长期的见解。
但请不要担心,这正是分类服务发挥作用的地方。通过我们专家团队的验证,只有相关的提交才会送到您的桌面上,从而消除了可能令人不堪重负的大量重复或错误提交。
"在考虑是否需要分类服务时,请思考一下,如果您的安全团队能够:减少在验证提交、过滤重复项和按严重性对漏洞进行排名上花费的时间,会带来什么影响。" - 《实现有影响力计划的非秘密技巧》
第二阶段:稳定期
通常,在大约三个月左右,容易发现的漏洞已被报告,提交量开始减少。虽然数量下降,但质量往往会提高,因为技能较低的研究人员在报告了较容易发现的错误后可能会离开计划,而技能较高的研究人员通常会继续参与计划,寻找更复杂和更高严重性的错误。
"建立一个强大且无缝的分类流程对于保持我们社区的满意度和参与度至关重要,能够带来持续不断的新兴黑客人才流。" – 《实现有影响力计划的非秘密技巧》
第三阶段:长期参与
从大约六个月开始,该计划成为您持续安全态势的一部分。如果范围设置得当,赏金奖励设置正确,研究人员会希望保持参与。现在重要的是基于尊重、响应速度和公平奖励建立持久的关系。
"这种方法既有利于道德黑客……也有利于我们的客户。"- 《优化漏洞赏金成功》
如果您已经进入第三阶段,但没有看到您所期望的参与度,请关注我们即将发布的博客:
- 如何吸引安全研究人员测试我的漏洞赏金计划?
- 如何获得更多提交和更高严重性的发现?
- 如果没有收到提交,我怎么知道研究人员正在测试资产?
增强您的漏洞赏金之旅的后续步骤
有关本文中任何观点的更多信息,请立即联系我们的团队。
请密切关注我们的下一篇博客,我们将深入分析向我们团队提出的另一个热门问题!
对特定主题感兴趣?请将您希望得到解答的问题通过电子邮件发送至 pr@intigriti.com。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码
