漏洞赏金计划公开后的预期发展模式

在Intigriti，我们一直密切关注漏洞赏金计划参与者最常提出的问题。因此我们推出了这个博客系列，专门回答最常见的问题，深入探讨热门话题，并分享实用且专家支持的策略，帮助您最大化漏洞赏金计划的成功。

在今天的博客中，我们将探讨公开漏洞赏金计划后可能发生的情况，让您清楚了解预期结果以及如何为团队的成功做好准备。

第一阶段：提交量激增

这可能是您漏洞赏金之旅的开始，或者您可能已经建立了私有计划。无论哪种方式，公开计划都会引发一系列事件，通常从提交量激增开始。

在将漏洞赏金计划公开后的头一两个月内，随着研究人员立即涌入测试您的环境，提交量出现激增是很常见的。

“当您在平台上建立公共漏洞赏金计划时，您将立即获得一个全球众包道德黑客社区的访问权限。” — 《什么是持续安全测试？》

虽然其中一些提交是有效的，但随着更多研究人员的加入，预计重复提交会急剧增加。您可以预期会收到多个关于相同漏洞的报告，以及识别常见漏洞的低价值提交，这些可能是快速成果但无法提供长期洞察。

但不要担心，这正是筛选服务发挥作用的地方，我们的专家团队会在报告到达您的办公桌之前验证相关提交，消除可能令人不知所措的大量重复或错误提交。

“在考虑是否需要筛选服务时，请思考一下这对您的安全团队的影响：节省验证提交、过滤重复项和按严重性对漏洞进行排名所花费的时间。” — 《实现有影响力计划的非秘密技巧》

通常在大约三个月时，容易发现的漏洞已被报告，提交量开始减少。虽然数量下降，但质量通常提高，因为技能较低的研究人员在报告了较容易发现的漏洞后可能会离开计划，而技能较高的研究人员通常会继续参与计划，寻找更复杂和更高严重性的漏洞。

“建立一个强大且无缝的筛选流程对于保持我们社区的满意度和参与度至关重要，能够带来持续的新兴黑客人才流。” — 《实现有影响力计划的非秘密技巧》

从大约六个月开始，该计划成为您持续安全态势的一部分。如果范围正确且赏金奖励设置得当，研究人员会希望保持参与。现在重要的是基于尊重、响应性和公平奖励建立持久关系。

“这种方法既有利于道德黑客……也有利于我们的客户。” — 《优化漏洞赏金成功》

如果您已经进入第三阶段但没有看到预期的参与度，请关注我们即将发布的博客：

有关本文任何观点的更多信息，请立即联系我们的团队。

请密切关注我们的下一篇博客，我们将剖析向我们团队提出的另一个热门问题！

对特定主题感兴趣？请将您希望得到解答的问题发送至 pr@intigriti.com