如何获得更多漏洞赏金提交和更高严重性的发现？

您提问，我们回答。

在Intigriti，我们一直密切关注那些已经建立漏洞赏金计划的人最常提出的问题。这就是为什么我们推出这个博客系列，专门回答最常见的问题，深入探讨热门话题，并分享实用且专家支持的策略，帮助您最大化漏洞赏金计划的成功。

在本系列中，我们已经回答了：

今天，我们讨论“如何获得更多提交，尤其是关于更高严重性的发现？”这个问题。

提升提交数量和质量的四部分策略

当研究人员了解您的资产在真实业务场景中的使用方式时，他们更有可能发现高严重性的问题。尽可能提供关于系统在您公司中如何使用的信息，以清晰展示资产的复杂性。

“资产复杂性指的是资产的安全性或复杂程度……有些资产难以被黑客攻击，需要具有吸引力的赏金和结构良好的计划来保持熟练研究人员的参与。”——《安全成熟度、复杂性和漏洞赏金计划有效性》

通过提供用户流程和描述业务逻辑等元素，您可以让研究人员掌握最佳方法来处理资产，并增强他们深入挖掘、从一开始就发现高严重性错误或缺陷的能力。

归根结底，一个清晰且易于访问的计划是必不可少的。Intigriti在启动前和启动后都会审查每个计划，以获取团队和黑客社区的专家意见。

这看似简单，但要确保您最关键的系统，以及生产环境和业务关键型应用程序都在范围内。研究人员会分析范围内的资产，因此请确保包含这些元素以推动高严重性的发现。

通过为您的核心资产分配更高层级的赏金，您可以表明它们的重要性并吸引研究人员的注意。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在您的计划中保持广泛覆盖。”——《赏金层级》

确保您的奖励反映问题的严重性和影响，尤其是对于关键问题。如果您将范围内的项目分配给特定的层级，那么就更容易通过更高的层级（通常提供更大的奖励）来优先处理关键资产。

这种透明度有助于研究人员了解他们可以赚取什么，并鼓励他们专注于高影响力的目标。

通过提供有时限的奖金来创造紧迫感和兴奋感。

例如，您可以为在启动周内第一个有效的关键提交提供奖金。通过为关键和时效性的发现提供奖金或提升层级，您为更深入、更快速的研究创造了有吸引力的激励。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在您的计划中保持广泛覆盖。”——《赏金层级》

提供独家纪念品也是另一种用于引导研究人员测试您希望测试的领域（例如新发布的功能）的方法。

通过将您的计划转为公开来增加可见性。私人计划限制了曝光度和潜在价值，并且可能使营销和销售更难引用和庆祝一个成功的计划。

有关本文中任何观点的更多信息，请立即联系团队。

并请密切关注我们的下一篇博客，在那里我们将剖析向我们团队提出的另一个热门问题！

对某个特定主题感兴趣？请将您希望得到解答的问题通过电子邮件发送至 pr@intigriti.com。

作者 Eleanor Barlow 高级网络安全技术作家

上一篇文章 我应如何在漏洞赏金计划中界定第三方资产的范围？

下一篇文章 如何吸引安全研究人员测试我的漏洞赏金计划？