推出您的 VDP

先从小规模测试开始

虽然之前提到过,但现在有必要回顾一下。您可能会想要通过向全世界公布您的计划“公开”启动该计划,如果是内部计划,可以公开您的计划政策和报告提交表单。这可能会有风险,因为您没有机会从小规模起步并逐步扩大规模。无论您做何准备,推出 VDP 时总会遇到意外。您可能会收到的漏洞数量超出预期,且跟不上。也许有一半的团队生病了,无法帮助分类 bug。也许您忘了尝试运行经过身份验证的扫描,而研究人员这样做时,会不小心创建 10 万个新帐号,导致您的系统遭到大量攻击!无论有什么意外情况,最好先从小处着手,然后随着时间推移慢慢扩大计划规模。您会遇到问题,这完全正常,但最好有足够的带宽逐个处理这些问题。

如果您决定在内部构建您的计划,您仍然需要在网站上列出您的计划政策和报告提交表单,但您可能需要要求黑客先登录,然后才能查看。如果您使用的是第三方平台,第三方平台会自动为您邀请一小部分安全研究人员。无论是哪种情况,您都可以创建用于邀请黑客参与您的非公开 VDP 的邀请模板,如下所示:

您好! <您的组织名称> 想邀请您参与我们的非公开 VDP。我们将以私密模式开始小规模测试,以便基于我们的 VDP 流程不断完善,尽可能为安全研究人员提供最佳体验。如需了解测试准则和范围,请查看我们的计划政策。如果您在 VDP 的早期阶段有任何反馈,请告知我们。

在您的首批研究人员受邀并授予您计划的访问权限后,系统就会开始收到报告。或者,您可能不会收到任何报告,但没关系。假设您邀请了五位安全研究人员。可能有两个人太忙了,根本不看您的计划。另一个收件人可能正在度假,因此完全错过了您的邀请邮件。第四个和第五个黑客可能需要查看一两天的测试并进行一些测试,但没有发现任何漏洞。他们可能会在几周后回过头来报告一些事情,但完成所有工作、发送邀请而未收到任何报告仍会令人震惊。如果发生这种情况,无需担心。这完全正常,也是您为什么希望从小处着手,然后再逐渐扩大规模。如果您发出了 5 次邀请,但报告量不多,可以再发送 5 次、5 次、10 次甚至 20 次。如果您使用的是第三方平台,这些平台具有自动化机制,可以根据所需的报告量随着时间的推移慢慢邀请黑客。另一方面,如果您仅邀请了 5 位安全研究人员后就收到大量漏洞报告,那么您可能需要暂缓邀请更多研究人员,直到报告量减少为止。

分类和迭代

在推出 VDP 后的第 1-2 周内,您可能需要同时安排两人或更多人来协助对收到的漏洞报告进行分类、提交 bug 以及与研究人员沟通。通常,在项目启动时会出现大量的报告,然后会随着时间的推移而稳定下来。在对收到的漏洞报告进行分类时,您可能会收到来自黑客的反馈,并发现您的计划政策中的不足之处或存在误解的情况。您可能还会发现流程和工具存在问题。在最初几周内,您最初的计划规模较小,并且您的团队提供了大量关注和精力,因此请利用这段时间快速迭代和改进您的计划。一两个月后,一切都会消失,顺利运行程序将成为第二天。

扩大规模,公开发布

随着您的团队逐渐习惯执行计划,您将邀请越来越多的黑客参与进来。您已经扩展了您的学习范围,以包含您知道的所有内容(甚至包括您可能没有意识到的资产)。最终,您可能会邀请一百甚至几百名黑客,但报告量似乎正在减少。发送的报告似乎严重程度为“低”或“中”。值班更换似乎相当轻松,并且您的团队非常擅长对漏洞报告进行分类、推动它们解决问题,以及与黑客沟通。此时,您可能已准备好公开发布您的计划。在此之前,请重新与所有利益相关方重新联系,确保他们了解并认同您的公开发布。与初次非公开发布类似,让您的团队为公开发布的报告数量再次激增的情况做好准备。公开发布应用的一个主要区别是,任何人都可以向您提交漏洞报告。请注意,这可能会产生大量噪声。例如,对如何登录帐号感到困惑的用户,甚至是自动填写表单并发送电子邮件的垃圾邮件漫游器可能会向您的 VDP 提交报告。使用模板有助于快速关闭常见的非安全相关报告,甚至可以通过调整表单将用户重定向到正确位置(例如,导致支持人员忘记密码等问题)预先完成此操作。好的一面是,面向公众、技术熟练的黑客(之前无法联系到您)开放您的计划,这样做可能有助于您发现您不知道存在的高严重级别或严重级别的漏洞。它还提供本指南前面部分提到的所有好处,包括提供一个标准化渠道,供全球黑客社区直接向您披露漏洞,从而降低违规风险和负面公关风险。

庆祝

恭喜!您取得了长足的进展,现在您已公开发布了 VDP。别忘了与您的团队以及一路上为您提供帮助的所有利益相关方庆祝一番。您需要表达感激之情,并找到一种方法来共同庆祝您取得的成功,这一点非常重要。除了庆祝 VDP 的公开发布,别忘了庆祝整个过程中的里程碑,例如公开发布一周年纪念日,或重点介绍通过 VDP 发现并修复的特别有趣和严重的错误。在此过程中收集相关指标有助于展示项目的成功,并突出您和团队的成就。