যেকোন ভিডিপির জন্য একটি প্রোগ্রাম নীতি অপরিহার্য এবং সাবধানে তৈরি করা প্রয়োজন। একটি ভিডিপিতে অংশগ্রহণ করার সময় নিরাপত্তা গবেষকরা প্রথম জিনিসটি দেখেন প্রোগ্রাম নীতি। এটি প্রোগ্রামের জন্য টোন সেট করে, প্রত্যাশা সংজ্ঞায়িত করে এবং অংশগ্রহণ করতে বেছে নেওয়া গবেষকদের প্রতি আপনার প্রতিশ্রুতি সংজ্ঞায়িত করে।
কীভাবে আপনার প্রোগ্রাম নীতি তৈরি এবং হোস্ট করবেন
আপনার ভিডিপির জন্য প্রোগ্রাম নীতি খসড়া করতে নীচের নির্দেশিকাগুলি ব্যবহার করুন৷ প্রোগ্রাম নীতিগুলি সাধারণত মাত্র 1-3 পৃষ্ঠার হয় এবং সাধারণত নিম্নলিখিত বিষয়গুলি অন্তর্ভুক্ত করে:
- একজন গবেষক প্রতিশ্রুতি
- পরীক্ষার নির্দেশিকা
- প্রোগ্রামের পরিধি
প্রোগ্রাম নীতি সব সম্ভাব্য গবেষকদের জন্য উপলব্ধ করা প্রয়োজন. আপনি যদি শুধুমাত্র কয়েকজন আমন্ত্রিত গবেষকের জন্য ব্যক্তিগতভাবে VDP চালু করার পরিকল্পনা করেন, তাহলে প্রোগ্রাম নীতিতে আপনার আমন্ত্রিত গবেষকদের কাছে এটি উপলব্ধ করার জন্য কিছু ধরণের অ্যাক্সেস নিয়ন্ত্রণ প্রয়োজন, কিন্তু অন্য সবার জন্য সীমাবদ্ধ। গবেষকদের রিপোর্ট জমা দেওয়ার একটি উপায়ও প্রয়োজন, যেমন একটি ওয়েব ফর্ম বা রিপোর্টগুলি ট্র্যাক করার জন্য একটি টিকিটিং সিস্টেমের সাথে সংযুক্ত ইমেল উপনাম। ভিডিপির অনলাইন সংস্থানগুলি সেট আপ করার সময় এটি বিবেচনা করুন।
তৃতীয় পক্ষের দুর্বলতা প্রকাশ এবং বাগ বাউন্টি প্ল্যাটফর্মগুলি সাধারণত এমন ক্ষমতাগুলি অফার করে যেমন:
- আপনার জন্য একটি নীতি তৈরি, সম্পাদনা এবং প্রকাশ করার একটি উপায়৷
- একটি ব্যক্তিগত প্রোগ্রাম তৈরি করতে অ্যাক্সেস নিয়ন্ত্রণ
- স্বয়ংক্রিয়ভাবে হ্যাকারদের একটি আরামদায়ক গতিতে আমন্ত্রণ জানানো
- ইনকামিং রিপোর্ট প্রক্রিয়াকরণ সহজতর করার জন্য ইনবক্স কার্যকারিতা
তৃতীয় পক্ষের প্ল্যাটফর্মগুলি ভিডিপি তৈরি এবং চালু করার প্রক্রিয়া সহজ করতে সাহায্য করার জন্য বিভিন্ন পরামর্শ পরিষেবাও অফার করে। সাধারণত তৃতীয় পক্ষের প্ল্যাটফর্ম এবং পরামর্শ পরিষেবাগুলি একটি খরচে আসে। আপনার প্রতিষ্ঠানের জন্য সর্বোত্তম পথ নির্ধারণ করতে একটি তৃতীয় পক্ষ বনাম আপনার প্রোগ্রাম নির্মাণ এবং পরিচালনার খরচ এবং সুবিধাগুলি বিবেচনা করুন।
আপনার প্রোগ্রাম নীতিতে কী অন্তর্ভুক্ত করবেন সে সম্পর্কে অতিরিক্ত অনুপ্রেরণার জন্য, মার্কিন যুক্তরাষ্ট্রের বিচার বিভাগের " অনলাইন সিস্টেমের জন্য একটি দুর্বলতা প্রকাশের প্রোগ্রামের জন্য একটি কাঠামো " পড়ুন।
প্রোগ্রাম নীতি স্টেকহোল্ডার
আপনি আপনার প্রোগ্রাম নীতি খসড়া করার সময়, আপনার স্টেকহোল্ডারদের সাথে কিভাবে কাজ করবেন তা বিবেচনা করুন। আপনার নীতি তৈরি করার জন্য বিভিন্ন দল বিবেচনার বিষয়ে ইনপুট প্রদান করতে পারে।
| স্টেকহোল্ডার | বিবেচনা |
|---|---|
| আইনি |
|
| আইটি |
|
| প্রকৌশল |
|
| জনসংযোগ |
|
| নিরাপত্তা |
|
গবেষক প্রতিশ্রুতি
গবেষকের প্রতিশ্রুতি নীতিতে বর্ণিত পরীক্ষার নির্দেশিকা অনুসরণ করে সরল বিশ্বাসে কাজ করে এমন অংশগ্রহণকারী গবেষকদের প্রতি সংস্থার প্রতিশ্রুতি ব্যাখ্যা করে। উদাহরণস্বরূপ, একটি নির্দিষ্ট সময়সীমার মধ্যে সমস্ত আগত নিরাপত্তা প্রতিবেদনের প্রতিক্রিয়া জানানোর প্রতিশ্রুতি, সেইসাথে যোগাযোগের সিদ্ধান্তগুলি যার উপর দুর্বলতার প্রতিবেদনগুলি গ্রহণ করা হয় এবং স্থির করা হয়।
উদাহরণ:
<আপনার সংস্থার নাম> আমাদের সিস্টেম এবং পরিষেবাগুলির দুর্বলতাগুলি সনাক্ত করতে এবং ঠিক করতে সহায়তা করতে নিরাপত্তা গবেষকদের সাথে কাজ করতে প্রতিশ্রুতিবদ্ধ৷ যতক্ষণ না আপনি সরল বিশ্বাসে কাজ করেন এবং এই নীতিতে বর্ণিত নির্দেশিকাগুলি মেনে চলেন, আমরা নিম্নলিখিতগুলি করার জন্য আমাদের যথাসাধ্য চেষ্টা করব:- তিন কার্যদিবসের মধ্যে আপনার দুর্বলতার প্রতিবেদনের একটি প্রাথমিক প্রতিক্রিয়া প্রদান করুন
- আমরা দশ কর্মদিবসের মধ্যে আপনার দুর্বলতার রিপোর্ট গ্রহণ করব (ঠিক করতে চাই) বা প্রত্যাখ্যান করব (আপনার প্রতিবেদনকে মিথ্যা ইতিবাচক বা গ্রহণযোগ্য ঝুঁকি হিসাবে চিহ্নিত করুন) তা নির্ধারণ করুন
- আমরা আপনার কাছ থেকে গৃহীত প্রতিবেদনগুলির প্রতিকারের দিকে অগ্রগতির বিষয়ে আপনাকে আপ টু ডেট রাখি
আপনার প্রোগ্রাম নীতিতে নিরাপদ আশ্রয়ের ভাষা গ্রহণ করা গবেষকদের আশ্বস্ত করতে সাহায্য করে যে আপনার সিস্টেমের বিরুদ্ধে পরীক্ষার জন্য তাদের বিরুদ্ধে আইনি ব্যবস্থা নেওয়া হবে না, যতক্ষণ না তারা সরল বিশ্বাসে কাজ করে এবং নীতিতে বর্ণিত সমস্ত নির্দেশিকা অনুসরণ করে।
পরীক্ষার নির্দেশিকা
পরীক্ষার নির্দেশিকাগুলি VDP-এর সুযোগের মধ্যে থাকা নিরাপত্তা পরীক্ষার বর্ণনা করে, সেইসাথে পরীক্ষা যা সুযোগের মধ্যে নেই এবং গবেষকদের দ্বারা এড়ানো উচিত। যদি নির্দিষ্ট ধরনের দুর্বলতা থাকে যা আপনি গবেষকদের ফোকাস করতে চান, এই বিভাগটি তাদের হাইলাইট করার জন্য একটি ভাল জায়গা।
উদাহরণ:
নিরাপত্তা পরীক্ষা করার সময়, অনুগ্রহ করে নিম্নলিখিত নির্দেশিকাগুলি মেনে চলুন:
- শুধুমাত্র আপনার নিজের অ্যাকাউন্ট এবং ডেটার বিরুদ্ধে পরীক্ষা করুন (যেমন টেস্ট অ্যাকাউন্ট তৈরি করুন)। আপনি যদি এমন একটি দুর্বলতা শনাক্ত করেন যার ফলে অন্য ব্যবহারকারীর ডেটা অ্যাক্সেস হতে পারে, অনুগ্রহ করে আরও পরীক্ষা করার আগে প্রথমে আমাদের সাথে যোগাযোগ করুন।
- আপনি যদি আপনার পরীক্ষায় অসাবধানতাবশত অন্য ব্যবহারকারীর ডেটা অ্যাক্সেস করেন, তাহলে অনুগ্রহ করে আমাদের জানান এবং এই ধরনের কোনো ব্যবহারকারীর ডেটা সংরক্ষণ করবেন না।
- এমন পরীক্ষা করবেন না যা পরিষেবার শর্ত অস্বীকার করে বা আমাদের উত্পাদন পরিষেবাগুলির অবনতি ঘটায়।
- সামাজিক প্রকৌশল এই প্রোগ্রামের সুযোগের বাইরে; আমাদের সংস্থা বা আমাদের ব্যবহারকারীদের সামাজিকভাবে ইঞ্জিনিয়ার করার চেষ্টা করবেন না।
আমরা নিম্নলিখিত ধরণের দুর্বলতা এবং প্রভাবগুলিতে বিশেষভাবে আগ্রহী:
- রিমোট কোড এক্সিকিউশন
- XSS এর ফলে সংবেদনশীল ডেটাতে অ্যাক্সেস পাওয়া যায় (যেমন সেশনের তথ্য)
- এসকিউএল ইনজেকশনের ফলে সংবেদনশীল ডেটা বা কার্যকারিতা অ্যাক্সেস করা হয়
- ব্যবসায়িক যুক্তির ত্রুটি যার ফলে সংবেদনশীল ডেটা বা কার্যকারিতা অ্যাক্সেস করা যায়
আমরা নিম্নোক্ত ধরনের দুর্বলতার প্রতি কম আগ্রহী, যা হওয়ার সম্ভাবনা বেশি
মিথ্যা ইতিবাচক বা গৃহীত ঝুঁকি হিসাবে প্রত্যাখ্যান করুন:
- রাষ্ট্র-পরিবর্তন কার্যকারিতা ছাড়া পৃষ্ঠাগুলিতে X-Frame-Options হেডারের অভাব
- অযাচাইকৃত স্বয়ংক্রিয় স্ক্যানার ফলাফল
- যে সমস্যাগুলি শোষণযোগ্য হওয়ার সম্ভাবনা নেই এবং/অথবা যেগুলির বাস্তবসম্মত নিরাপত্তা প্রভাব নেই৷
ব্যাপ্তি
স্কোপ সেই সম্পদগুলিকে সংজ্ঞায়িত করে যেগুলির বিরুদ্ধে গবেষকরা পরীক্ষা করতে পারেন, সেইসাথে কোন সম্পদগুলিকে VDP-এর অংশ হিসাবে বিবেচনা করা হয় না৷ সুযোগটি সাবধানে বিবেচনা করা উচিত এবং আপনার দলকে ওভারলোড না করে যতটা সম্ভব বিস্তৃত হতে হবে। আপনি যত বেশি সুযোগ দিতে ইচ্ছুক, নিরাপত্তা গবেষকদের কাছ থেকে আপনি জড়িত হওয়ার সম্ভাবনা তত বেশি। যাইহোক, সুযোগটি এতটা বিস্তৃত করবেন না যে আপনার দল আগত প্রতিবেদনগুলির সাথে তাল মিলিয়ে চলতে সক্ষম হবে না। সুযোগে কয়েকটি সম্পদ দিয়ে শুরু করুন। আপনি কোন রিপোর্ট ভলিউম পাবেন তার একটি ভাল ধারণা পাওয়ার সাথে সাথে সুযোগ প্রসারিত করুন। সময়ের সাথে সাথে আপনার ভিডিপি জনসাধারণের জন্য উন্মুক্ত করার আগে, সমস্ত কিছুর সুযোগ পাওয়ার লক্ষ্য রাখুন।
আপনার প্রোগ্রাম নীতির মধ্যে আপনার সুযোগ কীভাবে সংজ্ঞায়িত করবেন তার পরিপ্রেক্ষিতে, প্রতিটি সম্পদ বা এলাকা সম্পর্কে বিশদ যোগ করা নিরাপত্তা গবেষকদের জানতে সাহায্য করবে যে আপনার জন্য কী গুরুত্বপূর্ণ এবং তাদের প্রচেষ্টাগুলি কোথায় ফোকাস করতে হবে। আপনি কীভাবে আপনার সম্পদের বিরুদ্ধে নিরাপদে পরীক্ষা করবেন তার টিপসও অন্তর্ভুক্ত করতে পারেন। এখানে একটি উদাহরণ:
| সম্পদ | mail.example.com |
|---|---|
| বর্ণনা | ব্যবহারকারীদের তাদের ইমেল অ্যাক্সেস করার জন্য প্রাথমিক ডোমেন। |
| আকর্ষণীয় দুর্বলতা এবং প্রভাব |
|
| প্রত্যাখ্যান হওয়ার সম্ভাবনা রয়েছে |
|
| পরীক্ষার নির্দেশিকা | শুধুমাত্র আপনার মালিকানাধীন অ্যাকাউন্টগুলির বিরুদ্ধে পরীক্ষা করুন বা তাদের বিরুদ্ধে পরীক্ষা করার জন্য স্পষ্ট সম্মতি আছে। পরীক্ষার অ্যাকাউন্ট তৈরি করার সময়, অনুগ্রহ করে ব্যবহারকারীর নামের কোথাও "vdptest" অন্তর্ভুক্ত করুন। আপনি mail.example.com/new এ পরীক্ষার অ্যাকাউন্ট তৈরি করতে পারেন। |
এটি একটি মোটামুটি বিস্তারিত ভাঙ্গন. বিকল্পভাবে, আপনি সুযোগের মধ্যে এবং সুযোগের বাইরে সম্পদের একটি সহজ তালিকা অন্তর্ভুক্ত করতে পারেন:
পরিধিতে
- mail.example.com
- example.com
সুযোগের বাইরে
- blog.example.com
আপনার ভিডিপি রিসোর্সিং
একটি VDP চালু করার আগে আপনার নির্দিষ্ট সংস্থানগুলির প্রয়োজন হবে৷ এর জন্য আপনার সম্পদের প্রয়োজন হবে:
- ইনকামিং দুর্বলতা রিপোর্ট পর্যালোচনা
- হ্যাকারদের সাথে যোগাযোগ
- সম্পদের মালিকদের খুঁজে বের করা এবং বাগ ফাইল করা
- বাগ ফিক্সিং
- দুর্বলতা ব্যবস্থাপনা / প্রতিকারের উপর অনুসরণ করা
মূল স্টেকহোল্ডারদের পুনরায় দেখুন
যদি আপনি ইতিমধ্যেই না করে থাকেন, তাহলে মূল স্টেকহোল্ডারদের সাথে কথোপকথনগুলি পুনঃভিজিট করুন যাদের সাথে আপনি আগে আপনার VDP নিয়ে আলোচনা করেছেন যাতে তারা আপনার VDP লঞ্চ করার সময়রেখায় সারিবদ্ধ থাকে, সেইসাথে লঞ্চের জন্য প্রয়োজনীয় সংস্থানগুলি সারিবদ্ধ করে। উদাহরণস্বরূপ, আপনি প্রকৌশল নেতৃত্বের সাথে কাজ করতে চাইতে পারেন যাতে তাদের দলগুলি লঞ্চের পর প্রথম কয়েক সপ্তাহে কাজ করার জন্য সম্ভাব্য নিরাপত্তা বাগগুলির জন্য প্রস্তুত থাকে। আপনার নিরাপত্তা দলের মধ্যে, নিশ্চিত করুন যে আপনার সনাক্তকরণ এবং প্রতিক্রিয়া সিস্টেমে ট্রাইজ সতর্কতাগুলি VDP লঞ্চের তারিখ সম্পর্কে সচেতন, এবং পরীক্ষা শুরু হওয়ার জন্য আরও সময় এবং সংস্থান বরাদ্দ করার কথা বিবেচনা করুন৷ আপনার ভিডিপি-র দৈনন্দিন ক্রিয়াকলাপগুলিকে সহায়তা করার জন্য আপনাকে একটি দল তৈরি করতে হবে।
আপনার দল গড়ে তুলুন
একটি ভিডিপি চালানোর জন্য একটি শালীন পরিমাণ অপারেশনাল, বাধা-চালিত কাজের প্রয়োজন। আপনি যদি পর্যালোচনা করার চেষ্টা করেন, প্রযুক্তিগতভাবে যাচাই করেন এবং প্রতিটি দুর্বলতার প্রতিবেদনে সাড়া দেন, সেইসাথে প্রতিটি বাগ ফাইল করেন, স্ট্যাটাস ট্র্যাক করেন এবং গবেষকদের কাছে আপডেটগুলি নিজে থেকে যোগাযোগ করেন, আপনি হয়তো আউট হয়ে যেতে পারেন। এমনকি আপনার কাছে একটি বড় নিরাপত্তা দল না থাকলেও, আপনার ভিডিপিকে কার্যকরী ও পরিচালনায় সহায়তা করার জন্য একটি দল তৈরি করতে সহায়তা করার জন্য নিরাপত্তা-মনস্ক স্বেচ্ছাসেবকদের খুঁজুন। আপনি এখনও আপনার VDP-এর একটি সংজ্ঞায়িত "মালিক" বা "নেতা" চাইবেন যা আপনার VDP-এর সাফল্যের জন্য চূড়ান্তভাবে দায়ী, কিন্তু সেই নেতাকে সমর্থন করার জন্য আপনার একটি দলও প্রয়োজন৷
একটি অন-ডিউটি সময়সূচী তৈরি করুন
একবার আপনি বোর্ডে সংস্থান পেয়ে গেলে এবং আপনার ভিডিপিতে সাহায্য করতে ইচ্ছুক হয়ে গেলে, একটি অন-ডিউটি সময়সূচী সেট করে এর পিছনে কিছু কাঠামো রাখুন। আপনি আপনার পছন্দ মতো এটি তৈরি করতে পারেন, তবে একটি সাপ্তাহিক ঘূর্ণন মোটামুটি সাধারণ অনুশীলন। আপনি যখন সপ্তাহের জন্য ডিউটিতে থাকেন, তখন এটি আপনার দায়িত্ব:
- Triage - ইনকামিং দুর্বলতা রিপোর্ট পর্যালোচনা
- প্রযুক্তিগতভাবে প্রতিবেদনটি যাচাই করুন এবং একটি "স্বীকার করুন" বা "প্রত্যাখ্যান করুন" সিদ্ধান্ত নিন
- সমস্যাটি রিপোর্ট করা হ্যাকারকে আপনার সিদ্ধান্তের সাথে যোগাযোগ করুন
- প্রয়োজনে, হ্যাকারের কাছ থেকে আরও তথ্যের জন্য জিজ্ঞাসা করুন যদি আপনি সমস্যাটি পুনরুত্পাদন করতে অক্ষম হন
- যদি দুর্বলতা বৈধ হয়, তাহলে সঠিক মালিকের সাথে একটি সাজানো বাগ ফাইল করুন
- দুর্বলতা ব্যবস্থাপনা - বিদ্যমান দুর্বলতাগুলিকে এগিয়ে দিন
- আপনার তীব্রতার মান এবং প্রতিকারের সময়রেখার উপর ভিত্তি করে প্রতিকারের অগ্রগতি নিশ্চিত করতে বিগত অন-ডিউটি সপ্তাহ থেকে দায়ের করা বাগগুলি পর্যালোচনা করুন৷
- মালিকদের এই বাগগুলিতে কাজ করতে রাজি করাতে সাহায্য করার জন্য মালিকদের খোঁজার টিপস ব্যবহার করুন
- যোগাযোগ করুন - বিদ্যমান প্রতিবেদনে নিরাপত্তা গবেষকদের আপডেট প্রদান করুন
- গবেষকরা সক্রিয়ভাবে বিদ্যমান প্রতিবেদনের আপডেটের জন্য জিজ্ঞাসা করতে পারেন; এই জন্য পরীক্ষা করুন এবং প্রয়োজন হিসাবে প্রতিক্রিয়া
- যদি একটি দুর্বলতা স্থির করা হয়, তবে এটি গবেষকের সাথে যোগাযোগ করুন যাতে তারা জানে যে তাদের কঠোর পরিশ্রমের ফলে আপনার প্রতিষ্ঠানে ইতিবাচক পরিবর্তন হয়েছে। এমনকি আপনি টেমপ্লেট ভাষাও অন্তর্ভুক্ত করতে পারেন যা গবেষককে আপনাকে জানাতে বলে যে আপনি আপনার ফিক্সে কিছু মিস করেছেন কিনা বা আপনার ফিক্সটি কোনোভাবে বাইপাস করা যেতে পারে।
আপনি কতগুলি রিপোর্ট পেয়েছেন, এই রিপোর্টগুলির জটিলতা এবং দায়িত্বে থাকা ব্যক্তির দক্ষতা এবং জ্ঞানের উপর নির্ভর করে, অন-ডিউটি হতে কয়েক ঘন্টা থেকে আপনার পুরো সপ্তাহ পর্যন্ত যে কোনও জায়গায় সময় লাগতে পারে। একটি সফল অন-ডিউটি ঘূর্ণনের জন্য টিপস অন্তর্ভুক্ত:
- নিশ্চিত করুন যে আপনার দল পদক্ষেপ নিতে প্রস্তুত এবং বিশেষ করে ভারী সপ্তাহগুলিতে অন-ডিউটি সমর্থন করতে সহায়তা করে।
- জায়গায় একটি ভাল হ্যান্ডঅফ প্রক্রিয়া আছে; যদি এমন কিছু সমস্যা থাকে যেগুলির জন্য পরবর্তী ব্যক্তির কাছ থেকে অবিলম্বে মনোযোগের প্রয়োজন হতে পারে, কিছু হ্যান্ডঅফ নোট লিখুন বা সপ্তাহের শেষে একটি লাইভ কথোপকথন করুন।
- ডিউটিতে থাকা অবস্থায় সবাই জানে তা নিশ্চিত করতে স্বয়ংক্রিয় সময়সূচী তৈরি করুন। এটি প্রতিটি ব্যক্তির জন্য পুনরাবৃত্ত ক্যালেন্ডার এন্ট্রি তৈরি করার মতো সহজ হতে পারে।
- বিশেষ করে আপনার ভিডিপি শুরুর দিকে, দায়িত্বরত ব্যক্তির সাথে দুবার চেক করুন নিশ্চিত করুন যে তারা মনে রেখেছে যে এটি তাদের সপ্তাহ, সেইসাথে তাদের কোন সাহায্যের প্রয়োজন কিনা তা দেখতে। আপনার যদি ঘূর্ণনে আরও জুনিয়র সংস্থান থাকে, তবে আরও সিনিয়র সংস্থান তাদের সাথে কাজ করুন যাতে তারা স্বাচ্ছন্দ্য বোধ করে এবং তারা র্যাম্প করার সাথে সাথে প্রশ্ন জিজ্ঞাসা করতে পারে।
- সপ্তাহ অদলবদল করার জন্য একটি নমনীয় প্রক্রিয়া আছে। অনিবার্যভাবে কারো একটি জরুরী অবস্থা হবে এবং তাদের সপ্তাহে ছুটি নিতে হবে, অথবা কেউ ছুটি নেবে, ইত্যাদি। যখন এটি ঘটে, তখন প্রত্যেকের সময়সূচী মিটমাট করার জন্য দলকে সপ্তাহের অদলবদল করতে উত্সাহিত করুন।
- একটি অন-ডিউটি "চিট শীট" তৈরি করুন যেটি কীভাবে করতে হবে তার ডকুমেন্টেশন সহ, কোন কর্তব্যগুলিকে আবৃত করতে হবে তার রূপরেখা দেয়৷
ইন-হাউস বনাম তৃতীয় পক্ষের বিষয়ে সিদ্ধান্ত নিন
এখন পর্যন্ত বেশিরভাগ নির্দেশিকা আপনার ভিডিপি তৈরি এবং পরিচালনার উপর ভিত্তি করে তৈরি হয়েছে। সেখানে বিভিন্ন ধরনের পরামর্শমূলক পরিষেবা এবং প্ল্যাটফর্ম উপলব্ধ রয়েছে যা আপনাকে একটি VDP তৈরি এবং পরিচালনা করতে সহায়তা করতে পারে। এই তৃতীয় পক্ষগুলি সাধারণত একটি খরচ নিয়ে আসে, কিন্তু কীভাবে আপনার ভিডিপি তৈরি, চালু এবং চালাতে হয় সে সম্পর্কে আপনাকে গাইড করতে কার্যকর হতে পারে। কেউ কেউ আপনার জন্য ইনকামিং দুর্বলতার প্রতিবেদন পর্যালোচনা করতে, হ্যাকারদের সাথে যোগাযোগ পরিচালনা করতে এবং শুধুমাত্র আপনার দলকে বৈধ প্রতিবেদনগুলিকে বাড়িয়ে তুলতে সহায়তা করার জন্য ট্রাইজ পরিষেবা অফার করে। আপনি এই প্রক্রিয়াটি ইন-হাউস তৈরি করবেন বা তৃতীয় পক্ষের প্ল্যাটফর্ম ব্যবহার করবেন কিনা তা আপনার প্রয়োজনীয়তা এবং উপলব্ধ সংস্থানগুলির উপর নির্ভর করবে। আপনার যদি বড় বাজেট থাকে কিন্তু অনেক বেশি হেডকাউন্ট না থাকে, তাহলে আপনার প্রোগ্রাম চালাতে সাহায্য করার জন্য একটি তৃতীয় পক্ষকে কাজে লাগাতে হবে। যদি এটি অন্যভাবে হয়, তাহলে আপনার প্রোগ্রামটি নিজেই তৈরি করার জন্য সময় বিনিয়োগ করা মূল্যবান হতে পারে।
রিপোর্ট গ্রহণ
আপনি যদি তৃতীয় পক্ষের প্ল্যাটফর্ম ব্যবহার করার সিদ্ধান্ত নেন, তাহলে তাদের কাছে হ্যাকারদের সরাসরি আপনার কাছে প্রতিবেদন জমা দেওয়ার একটি উপায় থাকা উচিত। আপনি যদি আপনার প্রোগ্রামটি ইন-হাউস তৈরি করেন তবে আপনাকে এটি নিজেই তৈরি করতে হবে। এটি এমন একটি ইমেল ঠিকানা হতে পারে যা স্বয়ংক্রিয়ভাবে আপনার ইস্যু ট্র্যাকারে একটি টিকিট বা বাগ তৈরি করে (যেমন security@example.com), অথবা এটি প্রয়োজনীয় ফর্ম ফিল্ড সহ একটি ওয়েব ফর্ম হতে পারে যা আপনার প্রোগ্রাম নীতির সাথে বা একই পৃষ্ঠা থেকে লিঙ্ক করা হয়েছে . এটি যে ফর্ম্যাটেই হোক না কেন, আপনি যে ফর্ম্যাটে আপনার রিপোর্টগুলি পেতে চান তা হ্যাকারদের জানানোর এটাই আপনার সেরা সুযোগ। মনে রাখবেন হ্যাকারদের একটি নির্দিষ্ট ফর্ম্যাটে রিপোর্ট জমা দিতে বলা সবসময় গ্যারান্টি দেয় না যে তারা করবে, কিন্তু তা নয় জিজ্ঞাসা করতে ব্যাথা। রিপোর্ট জমা দেওয়ার ফর্মে আপনি কী চাইতে পারেন তার একটি উদাহরণ এখানে দেওয়া হল:
শিরোনাম: [অনুগ্রহ করে সমস্যার একটি এক লাইনের বিবরণ যোগ করুন, যেমন "mail.example.com-এ XSS
সেশন চুরির ফলে"]
1.
2.
3.
আক্রমণের দৃশ্য এবং প্রভাব: [কিভাবে এটিকে কাজে লাগানো যেতে পারে? কি নিরাপত্তা প্রভাব এই
সমস্যা আছে?] প্রতিকারের পরামর্শ: [ঐচ্ছিকভাবে, কীভাবে এই সমস্যার সমাধান বা প্রতিকার করা যেতে পারে সে বিষয়ে আপনার যদি কোনো পরামর্শ থাকে, তাহলে এখানে যোগ করুন।]