छोटे बजट से शुरू करें
हालांकि, इस बारे में पहले बताया जा चुका है, लेकिन यह याद रखने लायक है. दुनिया के सामने अपने प्रोग्राम की घोषणा करके, अपने प्रोग्राम को "सार्वजनिक तौर पर" लॉन्च करना आकर्षक हो सकता है. साथ ही, इन-हाउस प्रोग्राम के मामले में, इस प्रोग्राम की नीति और रिपोर्ट सबमिट करने के फ़ॉर्म को सार्वजनिक तौर पर उपलब्ध कराना. यह जोखिम भरा हो सकता है, क्योंकि इससे आपको छोटे पैमाने पर शुरुआत करने और आगे बढ़ने का मौका नहीं मिलता. आप चाहे कितनी भी तैयारी कर लें, वीडीपी लॉन्च करने पर आपको हमेशा हैरानी होगी. ऐसा हो सकता है कि आपको बार-बार होने वाली गड़बड़ियों का सामना करना पड़े. हो सकता है कि आपकी आधी टीम बीमार हो जाए और गड़बड़ियों का पता लगाने में मदद न कर पा रही हो. शायद आप पुष्टि किए गए स्कैन चलाना भूल गए हों और जब कोई रिसर्चर ऐसा करता है, तो अनजाने में 1,00,000 नए खाते बनाकर, आपके सिस्टम में गड़बड़ी आ जाती है! चौंका देने वाला कॉन्टेंट चाहे जो भी हो, बेहतर यही है कि आप छोटे पैमाने पर शुरू करें और समय के साथ अपने प्रोग्राम को धीरे-धीरे बढ़ाएं. आपको समस्याएं आ सकती हैं. यह आम बात है. हालांकि, इन समस्याओं को एक-एक करके मैनेज करने के लिए बैंडविड्थ का इस्तेमाल करना बेहतर होता है.
अगर आपने इन-हाउस प्रोग्राम बनाने का फ़ैसला किया है, तब भी अपनी कार्यक्रम की नीति को और रिपोर्ट सबमिट करने के फ़ॉर्म को अलग से दिखाना होगा. हालांकि, ऐसा हो सकता है कि इसे देखने के लिए, हैकर को लॉगिन करना पड़े. अगर किसी तीसरे पक्ष के प्लैटफ़ॉर्म का इस्तेमाल किया जा रहा है, तो वह आपके लिए सुरक्षा पर रिसर्च करने वालों के एक छोटे ग्रुप को अपने-आप न्योता भेजेगा. दोनों ही मामलों में, अपने निजी वीडीपी पर हैकर को न्योता देने के लिए न्योते का टेंप्लेट बनाया जा सकता है. जैसे:
नमस्ते, <आपके संगठन का नाम> आपको हमारी निजी वीडीपी में हिस्सा लेने का न्योता देना चाहता है. हम प्राइवेट मोड में छोटे पैमाने पर शुरुआत कर रहे हैं, ताकि हम अपनी वीडीपी प्रोसेस को बेहतर बना सकें, ताकि सुरक्षा पर रिसर्च करने वाले लोगों को सबसे अच्छा अनुभव दिया जा सके. कृपया परीक्षण दिशा-निर्देशों और दायरे के लिए हमारी कार्यक्रम नीति देखें. अगर वीडीपी के शुरुआती चरण में आपका कोई सुझाव, शिकायत या राय है, तो कृपया हमें बताएं.जब रिसर्च करने वाले लोगों के पहले ग्रुप को न्योता भेजा जाएगा और प्रोग्राम का ऐक्सेस दिया जाएगा, तब आपको रिपोर्ट का ऐक्सेस मिलना शुरू हो जाएगा. इसके अलावा, यह भी हो सकता है कि आपको कोई रिपोर्ट न मिले, लेकिन कोई बात नहीं. मान लें कि आपने सुरक्षा से जुड़े पांच रिसर्चर को न्योता भेजा है. शायद उनमें से दो बहुत व्यस्त हों. इसलिए, उन्होंने यह फ़ैसला किया कि वे अब आपके प्रोग्राम में दिलचस्पी नहीं दिखाएंगे. ऐसा हो सकता है कि कोई दूसरा व्यक्ति छुट्टी पर हो और आपके न्योते का मैसेज पूरी तरह से छूट गया हो. हो सकता है कि चौथा और पांचवां हैकर इसकी जांच करके एक या दो दिनों तक जांच करे, लेकिन आपको किसी भी तरह के जोखिम की आशंका न मिले. ऐसा हो सकता है कि वे कुछ हफ़्ते बाद वापस आएं और किसी चीज़ की शिकायत करें. हालांकि, इस पूरी प्रक्रिया को देखने, न्योते भेजने, और कोई रिपोर्ट न पाना अब भी चौंकाने वाला हो सकता है. अगर ऐसा होता है, तो चिंता न करें. यह पूरी तरह से सामान्य है. आपको अपने कारोबार को छोटे बजट या बड़े पैमाने पर शुरू करना क्यों पसंद है. अगर आपने पांच न्योते भेजे हैं और रिपोर्ट की ज़्यादा संख्या नहीं दिख रही है, तो पांच और फिर पांच या दस या बीस लोगों को भेजें. अगर किसी तीसरे पक्ष के प्लैटफ़ॉर्म का इस्तेमाल किया जा रहा है, तो उसके पास ऑटोमेटेड सिस्टम (कार्रवाइयों को अपने-आप पूरा करने वाला सिस्टम) हैं. ये हैकर को समय के साथ धीरे-धीरे न्योता देंगे. ऐसा वे रिपोर्ट की संख्या के हिसाब से करेंगे. दूसरी ओर, अगर सिर्फ़ पांच सुरक्षा रिसर्चर को न्योता देने के बाद, आपको जोखिम की आशंका से जुड़ी बड़ी संख्या में रिपोर्ट मिलती हैं, तो हो सकता है कि रिपोर्ट की संख्या कम होने तक, आपको ज़्यादा लोगों को न्योता भेजने पर रोक लगानी हो.
आकलन करें और दोहराएं
अपना वीडीपी लॉन्च करने के बाद पहले एक या दो हफ़्ते में, हो सकता है कि दो या दो से ज़्यादा लोगों को एक साथ काम पर रखा जाए, ताकि वे आने वाली जोखिम की रिपोर्ट में प्राथमिकता का पता लगाने, गड़बड़ियां दर्ज करने, और रिसर्च करने वालों के साथ बातचीत करने में मदद कर सकें. आम तौर पर किसी प्रोग्राम के लॉन्च होते ही रिपोर्ट की संख्या बहुत ज़्यादा बढ़ जाती है, फिर समय के साथ समस्या ठीक हो जाती है. जोखिम की आशंका वाली रिपोर्ट की प्राथमिकता तय करने पर, आपको हैकर से सुझाव मिल सकते हैं. साथ ही, प्रोग्राम की नीति में कमियों और ग़लतफ़हमियों को पहचाना जा सकता है. आपको अपनी प्रोसेस और टूल में भी समस्याएं दिख सकती हैं. जब आपकी शुरुआत कम होती है और इन शुरुआती हफ़्तों में आपकी टीम का ध्यान काफ़ी ज़्यादा होता है, तो इस समय को अपने कारोबार को फिर से दोहराने और अपने प्रोग्राम को बेहतर बनाने के लिए इस्तेमाल करें. एक या दो महीने के बाद, चीज़ें खत्म हो जाएंगी और आपका प्रोग्राम आसानी से चलना दूसरी प्रकृति की वजह बन जाएगा.
बड़ा करें और सार्वजनिक तौर पर लॉन्च करें
जैसे-जैसे आपकी टीम को आपका प्रोग्राम चलाने की आदत हो जाएगी, वैसे-वैसे आप ज़्यादा से ज़्यादा हैकर को इसमें हिस्सा लेने के लिए न्योता देंगे. आपने हर उस चीज़ को शामिल करने के लिए अपना दायरा बढ़ाया है जिसके बारे में आपको जानकारी है (और ऐसी एसेट भी जिनके बारे में आपको शायद पता नहीं था). आखिरकार, आप एक ऐसी स्थिति पर पहुंच सकते हैं जहां आपने सौ या कुछ सौ हैकर को न्योता दिया है, लेकिन रिपोर्ट की संख्या कम होती जा रही है. भेजी जा रही रिपोर्ट कम या मध्यम स्तर की गंभीर लगती हैं. काम करने के दौरान रोटेशन बहुत आसान लगता है और आपकी टीम जोखिम की रिपोर्ट की प्राथमिकता तय करने, उन्हें समाधान की दिशा में रखने, और हैकर के साथ संपर्क करने में माहिर है. इस समय, आप अपना प्रोग्राम सार्वजनिक तौर पर लॉन्च करने के लिए तैयार हैं. ऐसा करने से पहले, अपने सभी हिस्सेदारों से दोबारा जुड़ें, ताकि उन्हें आपके सार्वजनिक लॉन्च के बारे में पता हो और वे उसे खरीद सकें. अपने शुरुआती, निजी लॉन्च की तरह ही, अपने सार्वजनिक लॉन्च के लिए रिपोर्ट की संख्या में एक और संभावित बढ़ोतरी के लिए अपनी टीम को तैयार रखें. सार्वजनिक तौर पर लॉन्च करने के बीच एक बड़ा फ़र्क़ यह है कि कोई भी व्यक्ति आपको जोखिम की आशंका से जुड़ी रिपोर्ट सबमिट कर सकता है. ध्यान रखें कि इससे बहुत ज़्यादा शोर हो सकता है. उदाहरण के लिए, अगर उपयोगकर्ता अपने खाते में लॉगिन करने के बारे में नहीं जानते हैं या स्पैम बॉट, अपने-आप फ़ॉर्म भरते हैं और ईमेल भेजते हैं, तो वे आपकी वीडीपी पर रिपोर्ट सबमिट कर सकते हैं. गैर-सुरक्षा से जुड़ी सामान्य रिपोर्ट को तुरंत बंद करने के लिए टेंप्लेट का होना या फिर उपयोगकर्ताओं को सही जगह पर रीडायरेक्ट करने के लिए, अपने फ़ॉर्म में बदलाव करके उसे पहले से खाली करना काफ़ी फ़ायदेमंद है. उदाहरण के लिए, पासवर्ड भूलने जैसी चीज़ों के लिए आपका सपोर्ट स्टाफ़. अच्छी बात यह है कि अपने प्रोग्राम को सार्वजनिक, कुशल हैकर के लिए खोलकर अब ऐसा किया जा सकता है. जिन हैकर के पास आपसे पहले आपसे संपर्क करने का कोई तरीका नहीं था. इसमें वे सभी फ़ायदे भी शामिल हैं जिनके बारे में इस गाइड में पहले बताया गया था. इसमें ग्लोबल हैकिंग कम्यूनिटी के लिए एक स्टैंडर्ड चैनल होना भी शामिल है, जिससे जोखिम की आशंकाओं के बारे में सीधे आप पर जानकारी मिल सकती है. इससे डेटा के गलत इस्तेमाल और पीआर के जोखिम को कम किया जाता है.
जश्न मनाएं
बधाई हो, आपने सफलता हासिल कर ली है और अब आपके पास एक सार्वजनिक वीडीपी है. अपनी टीम और उन सभी हिस्सेदारों के साथ जश्न मनाना न भूलें जिन्होंने आपकी मदद की. आभार जताने के लिए और साथ मिलकर अपनी सफलता का जश्न मनाने का तरीका ढूंढना ज़रूरी है. अपनी वीडीपी को सार्वजनिक तौर पर लॉन्च करने का जश्न मनाने के अलावा, इस दौरान उपलब्धियों का जश्न भी मनाना न भूलें. उदाहरण के लिए, आपके सार्वजनिक लॉन्च की सालगिरह की सालगिरह या खास तौर पर दिलचस्प और गंभीर गड़बड़ियों को हाइलाइट करना. मेट्रिक इकट्ठा करने से आपके प्रोग्राम की सफलता को दिखाने में मदद मिल सकती है. साथ ही, अपनी और टीम की उपलब्धियों को हाइलाइट किया जा सकता है.