如何吸引安全研究员在你的漏洞赏金计划上进行测试

上线后需要做什么

要吸引并留住顶尖人才，需要进行多项活动。但从哪里开始呢？以下是四种经过验证的提高漏洞赏金计划参与度的方法。

首先，提供与研究投入相匹配的奖励至关重要。

在我们的《2024年道德黑客洞察报告》中，很明显财务动机是我们黑客社区的首要驱动力。超过76%的安全研究员出于某种财务动机寻找漏洞，33%的人寻求大型或最高支付金额。

简而言之，不要为高严重性漏洞支付过低费用。我们并不是说要花光所有钱，但如果你的赏金低于市场平均水平，顶尖研究员就会转向其他项目。

“如果你支付低于市场价值，你将无法吸引顶尖黑客”——漏洞赏金计算器

42%的研究员寻找响应迅速的团队。

在黑客社区中，第一印象很重要，速度和清晰度也很重要。你对报告的响应越快，特别是有效的报告，研究员就越有可能保持参与并继续测试。

一位名为Kuromatae666的Intigriti研究员解释了他如何选择漏洞赏金狩猎目标：

“当我选择目标时，对我最重要的方面是公司如何响应——包括他们响应所需的时间。有时，我最初只报告一两个漏洞，看看他们如何响应，然后再发送其他漏洞。对我来说，第一印象很重要。”

——Kuromatae666

及时的分类和反馈与金钱奖励同样重要，正如顶尖研究员所指出的……

“设定清晰的范围，同时提供有竞争力的赏金范围和高效的平均响应时间，将使计划更具吸引力。”Lyubomir Tsirkov，在《黑客聚焦》中。

这似乎很明显，但请检查你的简介，确保它清晰、全面且结构良好。

范围应详细说明道德黑客可以或不能测试的内容，并包括更多可以测试的系统或资产。明确定义测试范围，包括最新文档、已知限制，并在适用时提供测试凭据。

安全研究员有时会提交无效问题，仅仅是因为他们不清楚公司的优先级。

强大的范围不仅减少干扰，还通过帮助研究员准确理解哪些系统在范围内、哪些不在范围内来吸引高质量的研究员，这意味着不会浪费时间，也不会在试图理解允许的内容时感到沮丧。

“68%的安全研究员表示他们寻找提供大量范围的计划。同样，43%的人表示他们对具有新鲜范围的计划最感兴趣，例如最近添加到漏洞赏金计划中的元素。”——如何从安全研究员那里获得更有价值的漏洞赏金报告

让你的计划一鸣惊人！考虑提供限时奖金或游戏化竞赛。此类促销活动可以产生轰动效应，并为你的计划带来早期动力，特别是在寻求新机会的顶级研究员中。

虽然这是一个关键组成部分，但吸引研究员不仅仅是关于金钱；还关乎清晰的沟通、快速的参与和提供有回报的体验。

“让你的计划在其他计划中脱颖而出，并吸引研究员开始参与。这可能是通过有吸引力的赏金表、特定的沟通方式、大范围、关于发布的信息（最近发布后成功机会更大）或特定奖励如纪念品或代金券。”——计划设置

你的计划需要在数百个其他计划中脱颖而出。确保放置特色点，并通过社交媒体和新闻通讯外部分享新闻。

凭借强大的基础和关注细节，你的计划可以在Intigriti上脱颖而出并蓬勃发展。我们不断与社区互动，并以多种方式推广计划，包括共同营销公共计划的选项，并确保研究员的技能与每个独特的计划范围相匹配。

有关本文中任何观点的更多信息，请立即联系团队进一步讨论。请密切关注我们的下一篇博客，我们将剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？通过发送电子邮件至pr@intigriti.com，将您想得到答案的问题发送给我们。