如何获得更多漏洞赏金提交和更高严重性的发现？

在Intigriti，我们一直密切关注那些已经实施漏洞赏金计划的人最常提出的问题。这就是为什么我们推出了这个博客系列，致力于回答最常被问到的问题，深入探讨热门话题，并分享实用且专家支持的战略，以帮助您最大化漏洞赏金计划的成功。

到目前为止，本系列我们已经回答了：

今天，我们讨论这个问题：“如何获得更多提交，特别是关于更高严重性的发现？”

提升提交数量和质量的四部分战略

当研究人员了解您的资产在真实业务场景中的使用方式时，他们更有可能发现高严重性的问题。尽可能提供关于系统在您公司中如何使用的信息，以清晰传达资产的复杂性。

“资产复杂性指的是资产的安全性或复杂程度……有些资产难以入侵，需要具有吸引力的赏金和结构良好的计划来保持熟练研究人员的参与。” - 《安全成熟度、复杂性和漏洞赏金计划有效性》

通过提供用户流程和描述业务逻辑等元素，您可以让研究人员掌握如何最好地处理资产的知识，并增强他们深入挖掘并从一开始就发现高严重性错误或缺陷的能力。

底线是清晰且易于访问的计划至关重要。Intigriti会在发布前后审查每个计划，以获取团队和黑客社区的专家意见。

这可能看起来很简单，但要确保您最关键的系统，以及生产环境和业务关键应用程序都在范围内。研究人员分析范围内的资产，因此请确保包含这些元素以推动高严重性的发现。

通过为您的核心资产分配更高层级的赏金，您可以表明它们的重要性并吸引研究人员的注意。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在计划中保持广泛覆盖。” - 《赏金层级》

确保您的奖励反映严重性和影响，特别是对于关键问题。如果您将范围内的项目分配给特定的层级，那么通过提供通常更高的奖励，优先处理具有更高层级的关键资产就更容易。

这种透明度有助于研究人员了解他们可以赚取什么，并鼓励他们专注于高价值目标。

通过提供限时奖金来创造紧迫感和兴奋感。

例如，您可以为发布周内第一个有效的关键提交提供奖金。通过为关键和时效性发现提供奖金或提升层级，您为更深入和更快的研究创造了有吸引力的激励。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在计划中保持广泛覆盖。” - 《赏金层级》

提供独家纪念品也是另一种用于引导关注您希望测试区域的方法，例如新发布的功能。

通过将您的计划转为公开来增加可见性。私有计划限制了曝光度和潜在价值，并且可能使营销和销售更难引用和庆祝成功的计划。

有关本文中任何要点的更多信息，请立即联系团队。

并请密切关注我们的下一篇博客，我们将在其中剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？通过发送电子邮件至 pr@intigriti.com 向我们提出您希望得到解答的问题。