Статья является переводом. Оригинал вотСсылка скрыта от гостей
Segment ежедневно получает миллиарды запросов от тысяч клиентов, которые доверяют Segment безопасность своих данных. В Segment мы считаем, что хорошая безопасность является неотъемлемой частью создания высококачественного программного обеспечения, аналогичного надежности или масштабируемости. В дополнение к инструментам и процессам, разработанным нашей Security Org, чтобы помочь разработчикам программного обеспечения сделать правильный выбор в области безопасности, мы также полагаемся на отзывы как традиционных, так и краудсорсинговых компаний по обеспечению безопасности.
Bug bounty часто рассматривают как существенное бремя для команд безопасности, которые их запускают. Вы услышите ужасные истории о компаниях, запускающих bug bounty, о том, что их команда безопасности завалена некачественными отчетами, дублирующими заявками и исследователями, выходящими за рамки программы.
Вскоре после этого, вы услышите о том, что их команда разработчиков перегружена вновь обнаруженными уязвимостями, которые нужно исправить. От тех, кто пережил первый этап, вы можете услышать жалобы на то, что со временем они перестали получать полезные баги.
Несколько лет назад, когда индустрия не была такой масштабной, критики задавались вопросом, стоит ли запускать bug bounty программу. Теперь от организаций определенных масштабов и возрастов ожидается запустят программы по борьбе с багами.
В конце 2019 года Агентство США по кибербезопасности и безопасности инфраструктуры (CISA)
Ссылка скрыта от гостей
рекомендующей всем агентствам разработать механизм приема информации, связанной с уязвимостями безопасности, от внешних сторон.В этом посте мы расскажем, как запускать и управлять программой вознаграждения за ошибки (bug bounty), последовательно достигать хороших результатов и поддерживать хорошие отношения с исследователями, которые занимаются этой программой.
Если у вас мало времени, ознакомьтесь с разделом "Советы" в конце этой статьи.
Что такое bug bounty?
Bug bounty программа похожа на "Разыскиваемый постер" за уязвимость в системе безопасности.
Компании, работающие с программами по вознаграждению за баги, платят независимым исследователям безопасности со всего мира за уязвимости в их собственных продуктах иинфраструктуре.
Ссылка скрыта от гостей
Bug bounty программы проводятся сотнями организаций, включая
Ссылка скрыта от гостей
,
Ссылка скрыта от гостей
,
Ссылка скрыта от гостей
Ссылка скрыта от гостей
.Почему bug bounty?
Я полагаю, что большинство читателей уже привыкли к преимуществам запуска таких программ.
Если вы еще не до конца уверенны, существует большое количество независимых статей, маркетинговых документов от таких компаний, как
Ссылка скрыта от гостей
и
Ссылка скрыта от гостей
, и записанные выступления на конференциях , поэтому я не буду подробно останавливаться на этом.Большинству компаний, которые присутствуют в Интернете или создают устройства, подключенные к Интернету, следует рассмотреть вопрос о предоставлении вознаграждения или, по крайней мере, о возможность сообщить о проблемах безопасности.
Это также является частью
Ссылка скрыта от гостей
, поэтому ваши клиенты могут спросить вас, если вы находитесь в сфере B2B.Если у вас нет возможности сообщить о проблемах исследователям, они отправят электронное письмо сотрудникам вашей компании (или любому никнейму, найденному на вашем сайте), свяжутся с вами в LinkedIn или просто сообщат о проблемах, которые, по их мнению, они нашли.
Исследователям, вашим сотрудникам и вашим клиентам будет гораздо удобнее, если вы предоставите сообществу безопасности четкую возможность сообщить об уязвимостях.
Ваши организации, занимающиеся безопасностью и инженерным обеспечением, будут регулярно удивляться находкам сообщества исследователей. Это люди, которые без внутренних знаний могут найти критические уязвимости в организациях по всему миру.
Зачем использовать платформу для bug bounty?
Я настоятельно рекомендую использовать такую платформу для bug bounty, как HackerOne или Bugcrowd (мы используем Bugcrowd здесь, в Segment), чтобы помочь управлять этим процессом. Эти компании предоставляют платформу и сервисы, помогающие запустить эффективную программу.
Уровень серьезности
Исходные уровни серьезности облегчают определение уязвимости и того, сколько времени вы должны тратить на проверку и исправление.
Когда вы самостоятельно запускаете программу, у вас часто бывают проблемы с уязвимостями исследователей. Платформы имеют управляемую форму представления, которая помогает исследователям выбрать подходящую категорию и рейтинг.
Система репутации
Системы репутации вознаграждают исследователей, которые точно оценивают уязвимости и создают конкурентную среду, которая приносит пользу, как исследователям, так и владельцам программ.
Это также способствует укреплению хорошего поведения. Любые проблемы исследовательской дисциплины имеют более жесткие последствия. Если исследователь плохо себя ведет, его могут исключить из платформы.
Соглашения о раскрытии информации
Чтобы представить уязвимости через эти платформы, исследователи должны согласиться не раскрывать уязвимости без одобрения вашей компанией.
Услуги сортировки
Обе платформы также предоставляют услуги по сортировке, за которые я настоятельно рекомендую платить. Это первая линия защиты для ваших внутренних ресурсов безопасности. Эти глобально распределенные группы, помогут очистить отчеты исследователей, пометить представленные документы как дубликаты и отфильтровать отчеты низкого качества.
Управленческие услуги
Эти компании также служат в качестве базы знаний для вас, чтобы узнать о ведении программы и задать вопросы. Вы можете отбросить идеи исследователя, который работает в компании и ведет сотни программ.
Интеграции
Платформы имеют структурированный ввод с необходимыми полями и интеграцию с популярными инструментами, такими как Jira. Это значительно упрощает превращение заявки в инструкцию для вашей инженерной организации.
Частные программы
Для большинства компаний невозможно запустить частную программу без помощи bug bounty платформы.
Мы поговорим о частных программах более подробно позже, но это рекомендуемая отправная точка для компаний, впервые запускающих поощерение за ошибки.
Все вышеперечисленные функции позволяют вашей команде сосредоточиться на проблемах безопасности, уникальных для вашего бизнеса.
Создание фундамента
Успешная программа начинается с хорошей основы, и ваша задача как владельца программы - помочь вашей организации добиться успеха.
Управление уязвимостями
Подумайте о своем текущем процессе устранения уязвимости в системе безопасности. Что происходит, когда кто-то внутри или снаружи обнаруживает ошибку?
Вы неизбежно получите больше уязвимостей после запуска программы bug bounty, поэтому у вас должен быть хороший способ обработки этих отчетов.
Ваш процесс не должен быть идеальным, но у вас должен быть способ расставить приоритеты и назначать отчеты об ошибках соответствующей инженерной группе без больших накладных расходов.
Поддержка инженеров
Как человеку, начинающему программу, вам также нужно будет получить buy-in от вашей инженерной организации. Именно они должны будут решить проблемы и, скорее всего, будут реагировать на предупреждения, инициированные исследователями.
Ваша ситуация с предупреждениями не обязательно должна быть идеальной. Но вы также не хотите, чтобы инженеры "просыпались" каждый раз, когда кто-то вызывает ошибку, потому что проверка ввода сработала правильно и помешала исследователю отправить < символ в поле адреса электронной почты.
Помните, что вашей команде не нужно немедленно исправлять каждую действительную уязвимость.
Уязвимости являются всего лишь ошибками и должны быть расставлены по приоритетам. Если у вас возникли проблемы с тем, чтобы ваша инженерная организация своевременно исправляла критические уязвимости, вы можете направить свои усилия на поиск
Ссылка скрыта от гостей
вместо того, чтобы запускать программу поиска ошибок.Начало работы
Как только ваша организация будет принята, вы сможете сконцентрироваться на том, чтобы все было готово для исследователей.
Bounty Brief
Ваше резюме - это то, что исследователи прочтут, чтобы определить, заинтересованы ли они в работе над вашей программой. Это часть инструкций, часть правил и часть рекламы.
Имейте в виду, что вы боретесь за время исследователей; им не нужно работать над вашей программой, когда есть так много других программ.
Ваше резюме должно быть четким, кратким и должно соответствовать ожиданиям исследователей. Вы можете найти программу Segment,
Ссылка скрыта от гостей
.Область применения
Где вы хотите, чтобы исследователи сосредоточили свое тестирование? Что входит в эту область? Что выходит за рамки?
Я рекомендую начинать с ресурсов, которые легко доступны исследователям, в идеале - что-нибудь бесплатное, на что может подписаться каждый.
Вам также следует попытаться выбрать цель, которая имеет как минимум средний обьем, сложность и влияние на бизнес. Это поможет вам рано показать ценность, что даст возможность расширить программу.
Доступ по адресу
Каким образом исследователи получают доступ к сфере деятельности? Есть ли документы, которые они могут прочитать, чтобы помочь себе войти в курс дела? Мы поручаем исследователям подписаться на наше приложение, используя свой
Ссылка скрыта от гостей
и включить -bugcrowdninja в свой список рабочих мест.Это позволяет нам определить, подписан ли кто-то на нашипрограммы Bugcrowd, когда мы просматриваем журналы и оповещения. Если мы заметим, что кто-то вызывает баги в нашем приложении, мы можем попросить Bugcrowd предоставить тренировку для исследователей.
Строгость
Как вы собираетесь оценивать заявки? Степень строгости очень важна, так как она влияет на то, сколько исследователь получает за свою работу. HackerOne использует перечисление
Ссылка скрыта от гостей
Ссылка скрыта от гостей
и Bugcrowd используют
Ссылка скрыта от гостей
Ссылка скрыта от гостей
.Вознаграждение
Какая цена ваших уязвимостей? Исследователи должны заранее знать, сколько вы заплатите за уязвимости, чтобы они могли оценить, стоит ли их время охотиться за вашей программой.
Подумайте об использовании разных диапазонов вознаграждения для разных очтетов. Это может помочь контролировать расходы, а также помогает исследователям понять, какие цели являются более важными. Например, мы описываем конкретные объекты, которые принесут более высокую награду:
Ссылка скрыта от гостей
Мерч
Несколько лет назад получение футболки в качестве награды было обычным делом. Я бы настоятельно рекомендовал всем, кто подумывает о том, пересмотреть свое решение.
Футболки не платят за аренду и работают для вашей команды больше, чем отправка денег исследователю. Что вы будете делать, когда та футболка, которую вы отправили на другой континент, теряется в почте или не подходит?
Мы бережем мерч для наших лучших исполнителей. Отправка футболки требует, чтобы исследователь нам доверял, для сообщения своего адресса, а также требует, чтобы представитель компании пошел на почту.
Безопасная гавань
Исследователи хотят знать, что они будут
Ссылка скрыта от гостей
при работе в соответствии с правилами вашей программы. Посетите
Ссылка скрыта от гостей
для получения дополнительной информации.Исследователи хотят знать, что они будут защищены от судебных исков и освобождены от вашего
Ссылка скрыта от гостей
с конечным пользователем
Ссылка скрыта от гостей
при работе в соответствии с правилами вашего вознаграждения.Уделите время объяснению, что такое bug bounty, почему оно важно, и получите несколько примеров от популярных организаций, готовых их показать.
Понимание платформы
Узнайте немного о платформе, которую вы используете. Ваши действия на платформе влияют на исследователя. Если вы будете плохо относиться к исследователям, они займутся другой компанией; без исследователей ваша программа не принесет пользы вашей организации.
Один и тот же статус отчета может иметь разные значения и влиять на разные платформы.
Например, на HackerOne Not Applicable снижает оценку исследователя по всему сайту на 5 баллов, и его следует использовать для отчетов, в которых нет действительной проблемы.
На странице Bugcrowd, Not Applicable не влияет на оценку исследователя, и обычно используется для отчетов, которые не должны быть приняты или отклонены. Для достижения такого результата на HackerOne, вы должны использовать Informative status.
Если у вас есть какие-либо вопросы о платформе, которую вы используете, я настоятельно рекомендую ознакомиться с документацией или обратиться за помощью к менеджеру своего аккаунта.
Начните с малого
Независимо от того, насколько велик интернет охват вашей компании, вы можете начать с небольшого объема, открытого только для небольшого числа людей в рамках частной программы.
В середине 2017 года Segment запускал частную программу с 25 исследователями и единственной целью - наше приложение.
Приглашенные исследователи будут одними из самых доверенных лиц, и они, как правило, будут больше воспринимать компании, которые учатся управлять программой, если вы платите им справедливо и относитесь к ним с уважением.
Начиная с малого, ваша организация может научиться запускать программу в более безопасной среде.
- Если в вашей программе управления уязвимостями есть пробелы, вы можете их исправить.
- Если ваше резюме неясно, вы можете переписать его.
- Если ваши оповещения не настроены должным образом, вы можете потратить время на их улучшение.
- Если вам нужно приостановить свою программу, вы можете перезапустить ее позже с меньшим отрицательным эффектом.
Даже когда у нас была частная программа, мы направляли исследователей, которые обращались по электронной почте к нашей программе Bugcrowd. Это позволило нам получить преимущества платформы и сервисов сортировки до запуска общедоступной программы.
Намного легче объяснить исследователю, почему вы не будете платить за низкоуровневую заявку, если у вас есть система приоритетов, установленная и применяемая третьей стороной.
Постоянно развивайтесь
Как и в любом многолетнем проекте, ваша награда за ошибку будет расти и требовать постоянных усилий для ее сохранения.
Дополнительные возможности и исследователи
Исследователи любят тестировать новые функции и обьекты; в большинстве bug bounty программ, денежное вознаграждение за ошибки получает только первый человек, обнаруживший уязвимость.
Если вы начали с небольшого объема, ваша программа стабильна, и вы готовы к большему количеству отчетов, это прекрасное время, чтобы добавить больше целей к вашему заданию.
Добавляя область действия, помните, что не все обьекты имеют одинаковую ценность для хакера. Рекомендуется указывать разные диапазоны вознаграждения для разных обьектов в зависимости от срока их погашения и стоимости.
Открытая сфера
Со временем вы также должны рассмотреть вопрос о вознаграждении «открытой области», если оно подходит для вашей организации. Мы указали в качестве цели, Any host/web property verified to be owned by Segment (domains/IP space/etc.) которая служит всеобъемлющим для всего, что явно не указано в наших разделах «In Scope» или «Out of Scope».
Исследователей привлекает щедрости за открытую область применения. Это не только показывает, что вы серьезно относитесь к запуску bug bounty, она также показывает, что независимо от того, где они найдут уязвимость, она, скорее всего, будет вознаграждена (в предположении, что она действительна, уникальна и не выходит за пределы указанной области).
Многие исследователи специализируются на поиске забытых интернет-ресурсов в рамках программ открытого масштаба и разработали собственную инфраструктуру для выявления уязвимостей, для эффективно получения вознаграждений.
Стоит также отметить, что у хакер не сможет поставить под угрозу безопасность вашей компании. Работа в открытой области означает, что скорее всего, исследователь найдет и сообщит об уязвимости до того, как ее использует хакер.
Ранний доступ
Со временем вы будете выстраивать доверие и формировать отношения с конкретными исследователями. Это замечательные люди, которые предоставляют ранний доступ к новым функциям. Часто эти функции требуют ручной поправки, что делает их менее пригодными для широкомасштабного тестирования.
Ранний доступ - это взаимовыгодная система, в которой вы будете получать уязвимости в безопасности перед релизом, что облегчает их исправление. Исследователи смогут тестировать функции с меньшим количеством конкурентов, что повышает их вероятность заработать вознаграждение и продолжить тестирование по вашей программе.
Если усилия по настройке этих функций средние или более высокие, рассмотрите возможность выплаты исследователю до того, как он начнет работать.
Четко сообщите, что вы ищете и что вы ожидаете от них. Предлагая исследовательский грант, мы хотим видеть краткое описание того, что не сработало, в дополнение к любым выводам, которые они представляют. Вознаграждения за результаты должны быть оплачены в дополнение к гранту.
Общественная программа
После того, как вы запустили программу на некоторое время и уверены в способности вашей компании получать уязвимости от глобального сообщества исследователей, вы должны рассмотреть возможность превращения ее в общедоступную программу.
Если у вас нет широких возможностей, самое время вернуться к этому решению.
Максимизация вашей области (пока приватная) уменьшит прирост количества представлений, когда ваша программа запущена публично. Вы также должны пригласить как можно больше исследователей в свою частную программу, прежде чем публиковаться по той же причине.
Поскольку общедоступные программы открыты для всех, вы неизбежно получите тестирование от множества новых людей, которые будут уделять меньше внимания вашему заданию, поэтому наличие широкого диапазона также помогает в этом.
Segment запускает общедоступную программу по bug bounty с конца 2018 года, примерно через 18 месяцев после запуска нашей частной программы.
Тренируйте ваши триггеры
Будем надеяться, что со временем вы будете думать о вашей команде по сортировке как о расширении вашей внутренней команды. Потратив время, чтобы сообщить им, как вы хотите, чтобы ваша программа работала, вы будете получать дивиденды в будущем. Любая заявка, которую они могут подтвердить, не задавая вопросов вашей команде, экономит время для всех участников.
Вот несколько примеров руководства, которое мы дали команде по сортировке Bugcrowd:
Определите дубликаты для неоплачиваемых работ
Многие программы не заботятся о том, чтобы пометить информационные, не относящиеся к области или другие, не подлежащие вознаграждению материалы как дубликаты. Мы делаем это по двум причинам:
Во-первых, если мы решим исправить одну из этих проблем позже, мы можем вернуться и пометить первоначальное представление как решенное и заплатить исследователю. Любые дубликаты этой проблемы будут по-прежнему получать очки.
Во-вторых, когда есть ложный положительный результат, идентифицируемый инструментом, обычно используемым исследователями, вы будете часто передавать его в свою программу.
Если мы неоднократно видим не входящие в сферу или не воспроизводимые материалы, мы можем добавить конкретный элемент в наше резюме, чтобы предупредить исследователей; он будет помечен как выходящий за рамки или не воспроизводимый без рабочего подтверждения концепции.
Не бойтесь вычитать баллы за нежелательное поведение.
Несмотря на то, что мы в целом, спокойны и понимаем владельцев программ, мы не боимся вычитать баллы из суммарных баллов исследователя, когда это оправдано.
Многие программы стесняются вычитать баллы, но мы хотим, чтобы участники нашей программы тщательно прочитали наш краткий обзор и подумали, что это поможет большему сообществу bug bounty слегка наказать тех, кто пренебрегает четко задокументированными правилами.
Двумя распространёнными аргументами против программ вознаграждения за ошибку является то, что предоставляемые материалы часто имеют низкую ценность, и что исследователи не уважают сферу их действия.
Например, мы имеем очень небольшой вне сферы раздела, который включает в себя: CORS or crossdomain.xml issues on api.segment.io without proof of concept.
Это идентифицируется инструментом, обычно используемым участниками bug bounty - вывод, который мы получали десятки раз, но никогда не оказывали никакого влияния.
Мы делаем это, чтобы сэкономить время, как исследователей, так и нашей команды по сортировке. Если исследователь представляет этот вывод без подтверждения концепции, мы рекомендуем Bugcrowd пометить это как не входящее в сферу применения. Если исследователь представит результаты, которые показали влияние, мы были бы более чем рады вознаграждать, исправлять и обновлять наше резюме.
Объясните отклонения в рейтингах
Если вам нужно отклониться от базового рейтинга, установленного в вашем резюме, найдите время, чтобы объяснить исследователю, почему рейтинг и вознаграждение выше или ниже, чем они могли бы ожидать.
Исследователи, как правило, понимают, если ваш рейтинг, награда и объяснение справедливы и имеют смысл. Если вы обнаружите, что обычно отклоняетесь от рейтингов, возможно, пришло время внести изменения в ваше резюме, чтобы исследователи знали, чего ожидать заранее. Если в результате подачи заявки вы вносите изменения в серьезность или сферу охвата, вознаграждайте исследователя по любой более выгодной для него ставке.
В дополнение к объяснению, почему что-то было оценено ниже базового уровня, найдите время, чтобы объяснить, почему что-то было оценено выше, чем базовый уровень. Это отличный способ стимулировать дальнейшее тестирование в этих областях и отличный способ завоевать доверие исследователя.
Эти пояснения также помогают вашей команде по сортировке узнать больше о вашей программе и позволяют им более точно сортировать будущие заявки.
Построение и поддержание хороших отношений с исследователями
Уделите время построению отношений и доверия с исследователями, особенно с теми, кто многократно подает заявки на участие в вашей программе. Обращайтесь с исследователями справедливо, с уважением, и подумайте о том, чтобы заплатить за все, что приносит пользу вашей организации.
Вы соревнуетесь за время, проведенное исследователем, особенно с наиболее талантливыми из них. Вероятнее всего, они могут работать практически над любой доступной программой по борьбе с багами. Подумайте о том, как вы можете побудить их работать над вашей программой.
Имейте в виду, что все исследователи, даже те, которые не имеют квалификации, являются людьми. Предположим, что они хотят помочь вам защитить вашу организацию, узнать больше о безопасности и технологиях и получить оплату.
Платите за все, что приносит ценность
Если есть одно предложение, которое вы запомните из этого блога, я надеюсь, что это "заплатите за все, что приносит ценность".
Bug bounty исследователи тратят много времени и усилий, но это не приводит к вознаграждению. Это может быть время, потраченное на разработку инструментария, поиск без ошибок или наличие исправленной ошибки, помеченной как дубликат.
Старайтесь не думать о стоимости отдельных ошибок. Вместо этого подумайте об общей ценности программы для вашей организации с точки зрения найденных ошибок, экономии времени и спокойствия. Если вы дебатируете между двумя степенями выплат, выберите более высокую, и заплатите исследователю по этой ставке. Вы всегда можете изменить размер выходного пособия позже.
После того, как вы получили достойное представление, постарайтесь быстро отсортировать и оплатить. Иногда определение полного воздействия требует времени; если это так, добавьте комментарий, чтобы исследователь знал, что вы цените их работу, но вам нужно дополнительное время для определения соответствующей награды.
Работать совместно с исследователем
Как сотрудник вашей компании вы должны знать больше о кодовой базе и инфраструктуре, чем исследователь безопасности за пределами вашей организации (хотя иногда я подвергаю сомнению это, основываясь на креативных и действенных материалах, которые мы получаем).
Иногда при запуске программы за вознаграждение за ошибку вы получаете представление, которое заставляет задуматься: «Какого уровня исследователь может достичь?» Если это исследователь, которому вы доверяете, может быть целесообразно дать им несколько советов, которые помогут в дальнейшем их тестировании. Если вы дадите им подсказки, вы также можете дать несколько предостерегающих советов, которые помогут им продолжать работать так, чтобы это было безопасно для вашей организации и клиентов.
Советы исследователям помогают показать им, что вы цените их тестирование, и избавляют вашу команду от необходимости тратить время на то, что может быть невозможным. Если подсказка окажется полезной, исследователь будет отправлять данные более высокого уровня серьезности, которые положительно влияют на их оценку исследователя и получают более высокое денежное вознаграждение. Это также позволяет быстрее устранить уязвимость из-за более высокого уровня серьезности.
Иногда нецелесообразно включать исследователя в эту фазу процесса. Если наша команда продолжит расследование, и это приведет к обнаружению уязвимости в наших системах с более сильным воздействием, мы вознаграждаем исследователя, как если бы его отчет содержал полное воздействие. Мы также объясняем, почему мы заплатили им по этой более высокой ставке, но дайте им знать, что мы не можем поделиться деталями. Это отличный способ показать исследователю, что вы цените его работу и завоевывает доверие.
Поделитесь прогрессом с исследователем
Если исследователь представляет уязвимость, которая приводит к системному исправлению для класса уязвимости, поделитесь этим с ними! Исследователи, как правило, рады услышать, что их работа привела к значимым изменениям в вашей организации. Это также является для них сигналом к тому, чтобы попытаться обойти новые средства защиты.
Платите за дубликаты
В Segment мы обычно платим исследователям за хорошо написанные дубликаты и часто обращаемся, чтобы сообщить им, что мы ценим их представление. Мы также даем им знать, что мы не всегда платим за дубликаты, чтобы убедиться, что ожидания установлены правильно.
Это сработало невероятно хорошо для нас. Все наши наиболее важные материалы были получены от исследователей, которые изначально были вознаграждены за хорошо написанную копию. Segment является сложным продуктом, который требует времени для настройки и полного понимания. У исследователей, которые прилагают усилия, чтобы полностью настроить рабочее пространство Segment, есть дополнительный контекст и понимание, которые требуют времени, чтобы приобрести - этих людей трудно заменить.
Платите бонусы за хорошо написанные отчеты
Мы также доплачиваем за хорошо написанные отчеты. Действительные представления должны быть превращены в отчеты Jira, которые назначаются командам разработчиков. Кртакие отчеты, являются простыми для отслеживания, имеют четкую структуру, хорошо отформатированы и требуют меньше времени для их обработки. Мы хотим побудить исследователей сэкономить нам время, поэтому мы будем вознаграждены и сообщим им, что мы ценим их усилия.
Заключительные мысли
Запуск успешной bug bounty программы требует от вашей команды постоянных усилий, но может принести огромную пользу как для компании так и для клиентов. Любая уязвимость, о которой было сообщено и которую исправали - это баг, который злоумышленник мог использовать, чтобы проникнуть в вашу организацию. Подача заявок на получение премий за ошибки может помочь пролить свет на тенденции развития уязвимостей, что может помочь определить приоритеты, на которые вы тратите ресурсы для исправления системных проблем в ваших приложениях или инфраструктуре.
Программы bug bounty основаны на людях. Потратьте время, чтобы участники вашей программы почувствовали себя ценными, помогите им понять мотивы, лежащие в основе ваших решений, и проявлять уважение друг к другу!
Советы
Спасибо, что нашли время прочитать мой пост! Надеюсь, что вы узнали несколько вещей, которые помогут вашей компании в успешном ведении программы. Вот некоторые из моих лучших советов:
- Платите за все, что приносит пользу
- Заплатите дополнительно за хорошо написанные отчёты, даже если это дубликат
- Старайтесь не думать о стоимости отдельных ошибок
- Вознаграждайте быстро
- Сотрудничайте с платформой для получения багов и платите за услуги сортировки
- Если в результате подачи заявки вы вносите изменения в ваше резюме о вознаграждении, оплатите исследователя по более выгодной ставке
- Инвестируйте время в построение и поддержание отношений с вашими исследователями и командой по сортировке
- Не бойтесь вычитать баллы за плохое поведение
- Начните с малого и станьте партнером на ранней стадии разработки
- Напишите ясное и краткое резюме, чтобы определить ожидания исследователей
Последнее редактирование: