تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

إطلاق VDP

البداية بميزانية صغيرة

على الرغم من أن ذلك قد سبق ذكره، إلا أنه يستحق الزيارة مرة أخرى. قد يكون من المغري إطلاق برنامجك "على نطاق عام" من خلال الإعلان عنه للعالم، وفي حالة وجود برنامج داخلي، يمكنك جعل سياسة البرنامج ونموذج الإبلاغ عن المحتوى متاحين بشكل عام. وقد يكون هذا خطرًا، لأنه لا يمنحك فرصة للبدء على نطاق واسع وتوسيع نطاق نشاطك. بغض النظر عن مقدار التجهيز، ستكون هناك مفاجآت دائمًا عند إطلاق VDP. قد تحصل على ثغرات أمنية أكثر من المتوقع وقد لا تتمكن من مجاراتها. ربما يكون نصف فريقك مريض ولا يمكنه المساعدة في فرز الأخطاء. ربما نسيت محاولة تشغيل عمليات الفحص التي تمت مصادقتها، وعندما يحدث ذلك، أجرى أحد الباحثين عملية بدون قصد إلى نظامك من خلال إنشاء 100000 حساب جديد. أيًا كانت المفاجآت، من الأفضل أن تبدأ برامج صغيرة وتدريجًا برنامجك بمرور الوقت. ستواجهك مشكلات، وهذا أمر طبيعي، ولكن من الأفضل أن يكون لديك النطاق الترددي لمعالجة هذه المشكلات واحدًا تلو الآخر.

إذا قررت إنشاء برنامج داخلي، فستظل بحاجة إلى الوقوف على سياسة البرنامج والإبلاغ عن نموذج الإرسال على موقعك على الويب، ولكن قد تحتاج إلى مطالبة المخترقين بتسجيل الدخول قبل أن يتمكنوا من مشاهدته. إذا كنت تستخدم نظامًا أساسيًا تابعًا لجهة خارجية، سيتعامل هذا الفريق تلقائيًا مع دعوة مجموعة صغيرة من الباحثين في مجال الأمان. وفي كلتا الحالتين، يمكنك إنشاء نموذج دعوة لاستخدامه لدعوة المخترقين إلى VDP الخاص، على النحو التالي:

مرحبًا، يريد فريق <اسم مؤسستك> دعوتك للمشاركة في برنامج VDP الخاص. سنبدأ العمل على نطاق محدود في الوضع الخاص كي نتمكّن من الاعتماد على عمليات تطوير البرامج (VDP) لتوفير أفضل تجربة ممكنة للباحثين في مجال الأمان. يُرجى الاطلاع على سياسة برنامجنا للحصول على إرشادات الاختبار والنطاق. يُرجى إعلامنا إذا كان لديك أي تعليقات في المراحل الأولى من "منصّة VDP".

بعد دعوة مجموعتك الأولى من الباحثين ومنحك حق الوصول إلى برنامجك، ستبدأ التقارير في الظهور. أو قد لا تتلقى أي تقارير، ولكن لا بأس. لنفترض أنك تدعو خمسة باحثين في مجال الأمان. فمن المحتمل أن يكون اثنان منهم مشغولين جدًا ويقرران عدم النظر إلى برنامجك على الإطلاق. قد تكون هناك رسالة أخرى في عطلة وقد تفوتك رسالة الدعوة تمامًا. وقد يفحص المخترقون الرابع والخامس الموقع ويجرون بعض الاختبارات لمدة يوم أو يومين، ولكنهم لن يجدوا أي ثغرات أمنية. وقد يعودون إليه بعد بضعة أسابيع والإبلاغ عن شيء ما، ولكن قد يستمر الأمر في حدوث صدمة خلال إجراء كل هذا العمل وإرسال الدعوات وعدم تلقي أي تقارير. إذا حدث ذلك، فلا تقلق. وهذا أمر طبيعي، والسبب في رغبتك في البدء على نطاق صغير وتوسيعه. وإذا أرسلت خمس دعوات ولم يظهر لك عدد كبير من التقارير، فأرسل خمس دعوات أخرى، ثم خمس رسائل، أو عشرة، أو حتى عشرين رسالة. إذا كنت تستخدم نظامًا أساسيًا تابعًا لجهة خارجية، فإن لديها آليات تلقائية ستدعو المخترقين ببطء بمرور الوقت بناءً على حجم التقارير المطلوب. من ناحية أخرى، إذا تلقيت عددًا هائلاً من تقارير الثغرات الأمنية بعد دعوة خمسة باحثين أمنيين فقط، فقد تحتاج إلى تأجيل دعوة المزيد حتى يتم إبطاء حجم التقرير.

الفرز والتكرار

خلال الأسبوع أو الأسبوعين الأولين من إطلاق برنامج VDP، قد تحتاج إلى الاستعانة بشخصَين أو أكثر في الوقت نفسه للمساعدة في فرز تقارير الثغرات الأمنية الواردة وإبلاغك عن الأخطاء والتواصل مع الباحثين. وعادةً ما يكون هناك ارتفاع كبير في عدد التقارير عند إطلاق أي برنامج، ثم يستقر بمرور الوقت. عند فرز تقارير الثغرات الأمنية الواردة، قد تتلقى تعليقات من المخترقين وتحديد الثغرات أو سوء الفهم في سياسة البرنامج. قد تجد أيضًا مشاكل في عملياتك وأدواتك. عندما تبدأ بخطوات صغيرة وتكتسب الكثير من الاهتمام والطاقة من فريقك في الأسابيع القليلة الأولى هذه، فاستفد من هذه الفرصة لتكرار برنامجك وتحسينه بسرعة. بعد شهر أو شهرين، ستختفي الأمور، وسيصبح تشغيل برنامجك بسلاسة طبيعة ثانية.

توسيع النطاق وإطلاقه علنًا

عندما يعتاد فريقك على تشغيل برنامجك، ستدعو المزيد والمزيد من المخترقين للمشاركة. لقد وسّعت نطاق نطاقك ليشمل كل شيء تعرفه (وحتى مواد العرض التي ربما لم تكن تعرف بوجودها). وأخيرًا، قد تصل إلى نقطة تلقي دعوة إلى مائة، أو حتى بضع مئات من المخترقين، ولكن يبدو أن حجم التقرير يتضاءل. يبدو أن جميع التقارير التي يتم إرسالها بدرجة منخفضة أو متوسطة. يبدو أن تناوب المهام يؤدي لضوء خفيف إلى حد ما، كما أن فريقك يجيد فرز تقارير الثغرات الأمنية، مما يدفعه إلى حل المشكلات والتواصل مع المخترقين. في هذه المرحلة، ستكون مستعدًا على الأرجح لإطلاق برنامجك بشكل عام. وقبل إجراء ذلك، عليك إعادة التواصل مع جميع الجهات المعنيّة للتأكّد من أنهم على عِلم بمرحلة الإطلاق العامّة وشرائها. كما هو الحال بالنسبة إلى عملية الإطلاق الأولية والخاصة، جهّز فريقك للاستعداد للزيادة المحتملة في حجم التقارير التي يتم إطلاقها للجمهور. يكمن أحد الاختلافات الرئيسية عند الإطلاق بشكل عام في إمكانية إرسال أي مستخدم تقرير "ثغرة أمنية" إليك. ويُرجى الأخذ بعين الاعتبار أن ذلك قد يؤدي إلى إحداث ضجيج شديد. على سبيل المثال، قد يُرسِل المستخدمون الذين يختلط عليهم الأمر بشأن كيفية تسجيل الدخول إلى حسابهم، أو حتى برامج التتبُّع غير المرغوب فيها التي تملأ النماذج وترسل الرسائل الإلكترونية تلقائيًا تقارير إلى VDP. من المهم توفير نماذج لإغلاق التقارير الشائعة غير المتعلقة بالأمان، أو حتى البدء في ذلك من خلال تعديل النموذج لإعادة توجيه المستخدمين إلى المكان الصحيح (على سبيل المثال، موظفي الدعم بشأن أمور مثل نسيان كلمات المرور). من الجانب المشرق، من خلال فتح برنامجك أمام المخترقين العموميين والمهرة الذين لم يتمكّنوا من التواصل معك من قبل، سيتمكّنون الآن من فعل ذلك. قد يساعدك ذلك في اكتشاف الثغرات الأمنية البالغة الأهمية أو الخطيرة التي لم تكن تعرف بوجودها. كما يتضمن أيضًا جميع المزايا المذكورة سابقًا في هذا الدليل، بما في ذلك إنشاء قناة موحّدة لمنتدى الاختراق العالمي للكشف عن الثغرات الأمنية مباشرةً لك، والحد من خطر الخروقات والعلاقات العامة السلبية.

الاحتفال بالإنجاز

تهانينا، لقد قطعت شوطًا طويلاً، وأصبح لديك الآن VDP عام. لا تنسَ الاحتفال مع فريقك وجميع الجهات المعنيّة التي ساعدكم على طول الطريق. من المهم التعبير عن امتنانك وإيجاد وسيلة للاحتفاء بنجاحك. بالإضافة إلى الاحتفال بالإطلاق العام لبرنامج VDP، لا تنسَ الاحتفاء بالمحطات الهامة على طول الطريق، مثل العام السنوي لإطلاق تطبيقك للجميع، أو تسليط الضوء على الأخطاء المهمة والمهمة التي تم اكتشافها وإصلاحها من خلال VDP. قد يساعد جمع المقاييس خلال هذه الفترة في توضيح مدى نجاح برنامجك وتسليط الضوء على الإنجازات التي حققتها أنت وفريقك.

إنشاء VDP

أكاديمية Play