漏洞赏金计划公开后的预期发展模式

在Intigriti，我们一直密切关注那些已经建立漏洞赏金计划的人最常提出的问题。这就是为什么我们推出这个博客系列，致力于回答最常见的问题，深入探讨热门话题，并分享实用且专家支持的战略，帮助您最大化漏洞赏金的成功。

在今天的博客中，我们将探讨在将漏洞赏金计划公开后可能会发生的情况，以便您对预期结果有所了解，并如何为团队的成功做好准备。

第一阶段：提交量激增

这可能是您漏洞赏金之旅的开始，或者您可能已经建立了私有计划。无论哪种方式，公开计划都会引发一系列事件，通常从提交量激增开始。

在将漏洞赏金计划公开后的头一两个月内，通常会看到提交量激增，因为研究人员会立即涌入测试您的环境。

“当您在平台上建立公共漏洞赏金计划时，您将立即获得一个全球众包道德黑客社区的访问权限。” – 《什么是持续安全测试？》

虽然其中一些提交是有效的，但随着更多研究人员的加入，预计重复提交会急剧增加。您可以预期多个关于相同漏洞的报告，以及识别常见漏洞的低价值提交，这些可能是快速获胜，但不提供长期见解。

但不要担心，这就是分类服务发挥作用的地方，这样您的团队只需查看由我们专家团队验证的相关提交，从而避免了可能令人不知所措的大量重复或错误提交。

“在考虑是否需要分类服务时，请思考一下如果能够：减少在验证提交、过滤重复项和按严重性对漏洞进行排名上花费的时间，对您的安全团队会产生什么影响。” – 《影响力计划的非秘密技巧》

通常，在大约三个月时，容易发现的漏洞已被报告，提交量开始减少。但随着数量的下降，质量往往会提高，因为技能较低的研究人员在报告了较容易发现的错误后可能会离开计划，而技能较高的研究人员通常会继续参与计划，寻找更复杂和更高严重性的错误。

“建立一个强大且无缝的分类流程对于保持我们社区的满意度和参与度至关重要，能够带来持续的新兴黑客人才流。” – 《影响力计划的非秘密技巧》

从大约六个月开始，该计划成为您持续安全态势的一部分。如果范围正确且赏金奖励设置得当，研究人员将希望保持参与。现在重要的是基于尊重、响应性和公平奖励建立持久的关系。

“这种方法既有利于道德黑客……也有利于我们的客户。” – 《优化漏洞赏金成功》

如果您已经进入第三阶段，但没有看到您所期望的参与度，请关注我们即将发布的博客：

有关本文中任何观点的更多信息，请立即联系团队。

并密切关注我们的下一篇博客，我们将剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？请通过发送邮件至pr@intigriti.com，将您希望得到解答的问题发送给我们。