如何在漏洞赏金计划中与研究人员接触

🤷‍♂ Bugbounty不仅是寻找公司漏洞和安全问题的好工具，也是与世界各地的bug猎人直接交流的方式。

一个有能力的、明确的与研究人员互动的策略可以为公司创造一个积极的声誉（在因果关系中是一个加分项）。

根据我们对猎bughunters的行为和动机的研究，我们准备了一些建议，这些建议将使您的组织能够成功地运行一个漏洞赏金计划。

1.      清楚方案的规则并遵守这些规则。

尽可能以透明、清晰、易懂的方式为项目管理者和研究人员描述规则。避免使用含糊不清的语言。

2.      建立内部准则

就你的团队和分流小组如何处理收到的报告建立明确的规则。

这样的常规规则可以包括: 

• 标准答复的基本模板；
• 解释作为对外交流标准的语气；
• 报告处理的服务水平协议（SLA）

3.     不要忽视服务水平协议

我们建议你提前告诉研究人员，你需要多长时间来处理报告。如果你没有及时赶到，请警告bughunter关于延迟和延迟的原因。诚实是建立信任的关键。

4.      思考沟通问题

记住，bughunters志愿为安全研究付出时间，你的方案应该是有趣的，有吸引力的。使用友好的沟通方式。不要忽视赞赏的话语。即使报告不能得到奖励，也要感谢作者，并解释决定对他们不利的原因。

5.      响应错误赏金猎人的要求

请记住：只有14%的悬赏者将其视为收入来源，而超过50%的研究人员被这种计划吸引，将其作为专业发展机会。回答这些问题将有助于你培养出对你的公司忠诚的专家级bughunters。

6.      检查你发送给研究人员的信息

注意报告中的所有细节，要彻底和细致。如果你对自己的分析不确定，请寻求同事、分流小组或黑客本人的帮助--在这种情况下，值得直接回应你对自己的结论不确定。

7.      注意瓢外的小错误和漏洞

如果报告中包含了程序范围之外的已确认的漏洞信息，请积极地标记它。保持bughunter的兴趣是很重要的--对它所发现的问题的任何奖励（感谢你或商人）都会成为继续工作的动力。

8.      与缺陷跟踪管理系统小组交谈

记住，缺陷跟踪管理系统团队不仅是检查漏洞的专家，也是与bughunters沟通的专家。在任何情况下，你都可以向他们寻求帮助、澄清或说明。他们总是会帮助解决冲突，创造一个积极的氛围。

本文来自互联网用户投稿，文章观点仅代表作者本人，不代表本站立场，不承担相关法律责任。如若转载，请注明出处。 如若内容造成侵权/违法违规/事实不符，请点击【内容举报】进行投诉反馈！