Planning a Bug Bounty or VDP? Here’s everything we wish we’d known before ours.

在 is*hosting，我们为开发者、运维工程师和产品团队构建基础设施。我们的用户都是技术人员，其中一些人已经通过非正式渠道发送报告（感谢支持团队）。是时候为负责任的安全披露建立一个清晰、安全的路径了。

2024年7月，我们在 HackerOne 上启动了漏洞披露计划——先是私有的，然后公开。

当我们考虑使用 HackerOne 时，找不到类似这样的故事。有的只是着陆页、模糊的说法和许多黑客的成功故事。公司们是否在某个秘密的地方分享他们关于漏洞悬赏的看法？

如果你现在也处于同样的境地，正在决定如何开展安全披露以及这是否值得投入时间和金钱，我们希望本文能有所帮助。

它给我们带来了什么

在12个月里，我们收到了200份报告。 其中11份被认定为有效。没有一个是关键漏洞。但这仍然是值得的。

我们清理了一些小问题，这些问题大多是理论性的，或者只有在边缘情况和错误行为的奇怪组合下才可能发生。它们并非直接威胁，但却是让系统变得更可预测、完善内部流程的有用机会。

另一个好处是，安全报告不再出现在客服聊天中或在人员之间踢皮球。所有报告都通过一个一致的渠道流动，只对相关人员可见，工程师从第一天起就获得了完整背景。

我们使用了 HackerOne Triage 来过滤提交——事实证明，这是一个至关重要的决定。绝大多数报告都是低质量或由AI生成的。有些人尝试修改前端值并声称“影响了余额”。其他人则直接粘贴原始的扫描器日志。

如果没有分类筛选，我们将在噪音上花费的时间将远远多于有效信号。

没有发生的事情，以及我们停止支付的原因

我们没有发现任何严重的漏洞。 最初的报告高峰在几周内就消退了。在我们处理了常见的扫描器目标后，报告流稳定在每月1-3份。这些报告大多是浅层的，通常使用 Burp Suite 等工具自动化生成。

早期，主要价值在于分类筛选团队过滤掉了垃圾信息。但随着报告数量和质量的低下，成本变得难以合理化。

每月支付 1000多美元 仅仅为了保留在 HackerOne 目录中，这变得毫无意义。 我们暂停了订阅，因为它已经完成了它的使命。

我们现在在自己的网站上运行一个更简单的 VDP，设有一个清晰的表单和基本说明。我们仍然邀请研究人员报告问题。

“但真正的研究在哪里？”

我们从未期望从志愿者那里获得完整的安全审计。那样想就太天真了。我们也不责怪研究人员向公共 VDP 提交低质量报告，因为这些平台往往会激励这种行为。

在 HackerOne 上，通过在公共项目上建立声誉，可以解锁访问私有的、有实际赏金的付费项目。公共 VDP 吸引的是数量，而不一定是质量。

AI 让情况变得更糟。 现在，生成大量低质量报告、希望其中一些能蒙中的操作变得轻而易举。curl 的创造者 Daniel Stenberg 在他 FrOSCon 2025 的主题演讲中称之为 “AI 垃圾”。

这是对维护人员发起的慢动作 DDoS 攻击，浪费了每个人的时间。平台目前还没有采取太多措施来遏制它，因此团队应该现实地看待他们将收到的信号以及筛选它们所需付出的努力。

我们给其他人的建议

我们确实推荐运行一个 VDP，尤其是在你希望建立信任时。但要从以下开始：

1. 一个清晰、安全的披露渠道（自托管或由平台嵌入）。
2. 一个分类筛选缓冲区——如果平台算法会推广你的项目，最初的高峰将会迅速而混乱。
3. 除非你准备好管理金钱奖励所吸引来的关注，否则不要设置金钱奖励。

并且我们不建议从公共漏洞悬赏计划开始。即使有分类筛选，你的团队也会花费时间审查和回复那些几乎没有价值的报告。如果你还没有准备好应对这种工作量，它更有可能消耗资源，而不是提高安全性。

此外，你在平台营销中看到的“最好的报告会在最初24-48小时内到达”这一说法，纯粹是营销。我们没有看到这种情况。

最后的想法

在我们的案例中，我们证实了我们希望看到的情况：我们的基础设施具有韧性，我们的方法是有效的，我们的客户可以信任他们正在使用的平台。

如果你也运行过自己的 VDP 或漏洞悬赏计划，但现实与销售宣传不太相符，我们很乐意听听你学到了什么。

如果你好奇我们现在的披露流程是如何运作的，请访问我们的 VDP 页面，看看我们现在如何处理安全报告。

此故事最早发表于 LinkedIn。