漏洞赏金计划公开后的预期模式

第一阶段：提交量激增

这可能是您漏洞赏金计划的开始，或者您已经建立了私有计划。无论哪种情况，公开计划都会引发一系列事件，通常从提交量激增开始。

在将漏洞赏金计划公开后的头一两个月内，随着研究人员大量测试您的环境，提交量通常会出现激增。

“当您在平台上建立公共漏洞赏金计划时，您将立即获得一个全球众包道德黑客社区的访问权限。"——《什么是持续安全测试？》

虽然其中一些提交是有效的，但随着更多研究人员的加入，重复提交的数量也会急剧增加。您可以预期会收到多个关于相同漏洞的报告，以及识别常见漏洞的低价值提交，这些虽然可以快速解决，但无法提供长期见解。

但请不要担心，这正是分级处理发挥作用的时候，这样您的团队只需查看由我们专家团队验证的相关提交，避免了处理大量重复或错误提交的负担。

“在考虑是否需要分级服务时，请思考一下如果能够：减少在验证提交、过滤重复项和按严重性对漏洞进行排名上花费的时间，对您的安全团队会产生什么影响。"——《影响力计划的不那么秘密的技巧》

通常在大约三个月后，容易发现的漏洞已被报告，提交量开始减少。虽然数量下降，但质量往往提高，因为技能较低的研究人员在报告了较容易发现的漏洞后可能会离开计划，而技能较高的研究人员通常会继续参与计划，寻找更复杂和高严重性的漏洞。

“建立一个强大且无缝的分级流程对于保持我们社区的满意度和参与度至关重要，能够持续带来新兴的黑客人才。"——《影响力计划的不那么秘密的技巧》

从大约六个月开始，该计划成为您持续安全态势的一部分。如果范围设置正确且赏金奖励设置得当，研究人员会希望保持参与。现在重要的是基于尊重、响应速度和公平奖励建立持久的关系。

“这种方法既有利于道德黑客……也有利于我们的客户。"——《优化漏洞赏金成功》

如果您已经进入第三阶段但没有看到预期的参与度，请关注我们即将发布的博客：

有关本文任何要点的更多信息，请立即联系我们的团队。

请关注我们的下一篇博客，我们将深入分析向我们团队提出的另一个热门问题！

对特定主题感兴趣？请将您希望得到解答的问题发送至 pr@intigriti.com