如何获得更多漏洞赏金提交和更高严重性发现？

您提出问题，我们给出答案。

在Intigriti，我们一直密切关注那些已经建立漏洞赏金计划的人最常提出的问题。这就是为什么我们推出这个博客系列，致力于回答最常被问到的问题，深入探讨热门话题，并分享实用且专家支持的战略，以帮助您最大化漏洞赏金的成功。

在本系列中，我们已经回答了：

今天，我们讨论问题"如何获得更多提交，特别是关于更高严重性的发现？"

要提升提交的数量和质量，请专注于这个四部分战略。

1. 添加上下文和业务逻辑

当研究人员了解您的资产在真实业务场景中如何使用时，他们更有可能突出显示高严重性发现。尽可能多地提供关于系统在您公司中如何使用信息，以提供资产复杂性的清晰概念。

“资产复杂性指的是资产的安全性或复杂程度[…]有些资产难以被黑客攻击，需要具有吸引力的赏金和结构良好的计划来保持熟练研究人员的参与。” - 《安全成熟度、复杂性和漏洞赏金计划有效性》

通过提供用户流程和描述业务逻辑等元素，您为研究人员提供了如何最好地处理资产的知识，并增强了他们深入挖掘并从一开始就突出显示高严重性错误或缺陷的能力。

底线是清晰且易于访问的计划是必不可少的。Intigriti在启动前和启动后都会审查每个计划，以获取团队和黑客社区的专家意见。

这可能看起来很简单，但要确保您最关键的系统，以及生产环境和业务关键应用程序都在范围内。研究人员分析范围内的资产，因此请确保包含这些元素以推动高严重性发现。

通过为您的核心资产分配更高层级的赏金，您表明它们的重要性并吸引研究人员的注意。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在计划中保持广泛覆盖。” - 《赏金层级》

确保您的奖励反映严重性和影响，特别是对于关键问题。如果您将范围内的项目分配给特定层级，那么更容易通过更高层级优先处理关键资产，通常提供更大的奖励。

这种透明度有助于研究人员了解他们可以赚取什么，并鼓励他们专注于高影响力目标。

通过提供有时限的奖金来创造紧迫感和兴奋感。

例如，您可以为启动周内的第一个有效关键提交提供奖金。通过为关键和时间敏感的发现提供奖金或提升层级，您为更深入和更快的研究创造了有吸引力的激励。

“赏金层级让您能够战略性地分配奖励，优先处理关键资产，同时在计划中保持广泛覆盖。” - 《赏金层级》

提供独家礼品是另一种用于引导关注到您想要测试的领域的方法，例如新发布的功能。

通过将您的计划转为公开来增加可见性。私人计划限制了曝光度和潜在价值，并且可能使营销和销售更难引用和庆祝成功计划。

有关本文中任何要点的更多信息，请立即联系团队。

并密切关注我们的下一篇博客，在那里我们将剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？通过发送电子邮件至pr@intigriti.com，将您希望得到答案的问题发送给我们。