启动bug奖励程序的7个步骤

漏洞评估和鉴定的策略已发展到包括人群来源的安全性测试，通过错误赏金计划的概念。虽然错误赏金计划已经使用了20多年，广泛采用由企业组织刚刚开始在过去的几年起飞。这个错误赏金路，通过科技巨头铺成，拉大，使各种规模的安全团队来创建和管理强大的安全评估方案，出人头地的对手，和水平的网络安全公平的竞争环境。由于我们显然仍处于早期到这个新市场的中期使用者阶段，保罗·罗斯，在市场营销的高级副主持Bugcrowd，发生故障如何获得一个错误赏金计划，以及如何准备你的组织为这个新方法漏洞测试开始。

评估赏金计划可能启动的第一步是弄清楚你想要达到的目标。这是对现有安全状况的一种扩展，以确保对应用程序进行最大限度的检查，还是一种与客户、供应商和安全社区建立和维护安全凭证的方法?你是否有持续发布的代码，而这需要一个持续的程序，或者一个特定的发布，或者你心中的一个目标，来要求一个短期集中的约定?这种思维方式将帮助您定义您运行的程序的类型。

这也将帮助您获得内部协调，并确保资源可用来资助和执行项目的结果。对于一种众包、激励的方式，要想成为这个组合的一部分，就需要整个企业的承诺、资源和投资。

确保成功的项目范围，最重要的步骤是清楚地定义它，留下尽可能少的解释。赏金的范围告知研究人员他们可以和不可以测试，并指出他们的主要目标。获得这种权利，确保你不仅让你从程序想要什么，但也更容易保持与谁是把时间和精力投入到帮助您研究人员良好的关系。要做到这一点，最好的方法是退后一步，客观地评价范围是阐述。文档测试的特定目标，技术和重点领域。也是关于什么是不是在范围很明确 - 这可能是更重要的，如果你想与研究人群中一个伟大的经验。

这是至关重要的是，整个组织知道赏金计划的，特别是如果你正在做一个公共项目，而有关团体知道该如何应对或应对周围的信息。全公司流程将确保在现有工作的及时审查和发现问题的整治，以及优先方针。这些过程可能涉及创建模板和工作流程，或与内部开发工具集成。

虽然这是最重要的是，IT人员充分知情和指导，这也是不可或缺的，安全引线或团队理解到，这将影响到其他部门的程度。例如，市场营销或销售人员应该意识到在公共网站形式的测试，及客户服务人员应准备现场有关的问题，等等。毫无疑问，将会有一个学习的过程，当起步，但意识到并解决问题之前以推出将不遗余力超过几头痛和一些最后一分钟的加扰。

当提交开始进入时，筛选和审查传入的漏洞报告是必要的，以确定漏洞是有效的还是无效的，以及需要采取什么行动。无论是安全主管还是开发主管，合适的人/团队都应该查看提交，并帮助进行验证和修复。

确认、修复和沟通这些事件的解决方案，可以由内部指定的资源或第三方资源来完成。标记为有效的提交应该按照它们的重要性进行优先排序，合适的人或团队应该概述手头的漏洞的含义和实现修复的步骤。此外，研究人员应该得到相应的奖励或赞扬。

如果你正在运行一个错误赏金程序，你需要准备好实际支付赏金。这有手段的人员和流程到位以应对提交，验证他们，让他们排队是固定的 - 当然奖励满足您的要求提交的材料。及时这样做将确保你继续有积极的研究人员从事与您的程序和改善你在社会上的声誉。

因为代码和威胁是不断变化的，所以重新评估项目目标和范围，通过重新分配资源、改进奖励或运行额外的项目来调整项目以满足目标是很重要的。这种持续的测试也是学习编写更好、更安全代码的绝好机会。

希望从传统的漏洞奖励计划中获益的组织，如果有特定的目标或限制，可以考虑使用私人奖励计划。这些也可以是正在进行的或按需的节目，以满足特定的需求。私人项目更具排他性，通常具有很高的激励机制，通常通过众包平台供应商来运营，供应商提供研究人员审查和项目管理。


These types of programs often have a more specific scope or focus to encourage testing on a specific target with very specific goals.

有关：如何（以及为何）开始的错误赏金计划