البداية بميزانية صغيرة
إن الأمر يستحق إعادة النظر في هذا الموضوع، علمًا أنّه سبق ذكره. قد يكون من المغري إطلاق البرنامج "بشكل علني" من خلال الإعلان عنه للعالم، وفي حال إطلاق برنامج داخلي، جعل سياسة البرنامج ونموذج إرسال التقارير متاحَين للجميع. قد يكون هذا محفوفًا بالمخاطر، لأنه لا يمنحك فرصة للبدء على نطاق صغير وتوسيع نطاقه. بغض النظر عن مدى استعدادك، ستكون هناك دائمًا مفاجآت عند إطلاق VDP. قد تتلقى عددًا أكبر من الثغرات المتوقعة ولا تكون قادرًا على مواكبتها. ربما يشعر نصف فريقك بالمرض ولا يمكنه المساعدة في فرز الأخطاء. ربما نسيتَ محاولة إجراء عمليات فحص تمت المصادقة عليها، وعندما يقوم الباحث بذلك، يقوم عن طريق الخطأ بفيضان نظامك عن طريق إنشاء 100000 حساب جديد! مهما كانت المفاجآت، من الأفضل أن تبدأ على نطاق صغير وأن يتم توسيع نطاق برنامجك ببطء بمرور الوقت. ستواجهك مشكلات، وهذا أمر طبيعي تمامًا، ولكن من الأفضل أن يكون لديك معدل نقل بيانات لمعالجة هذه المشكلات واحدًا تلو الآخر.
وإذا قررت إنشاء برنامجك داخليًا، ستظل بحاجة إلى الالتزام بسياسة البرنامج ونموذج إرسال الإبلاغ على موقعك الإلكتروني، ولكن قد تحتاج إلى مطالبة المخترقين بتسجيل الدخول قبل أن يتمكنوا من رؤيته. إذا كنت تستخدم منصة تابعة لجهة خارجية، سيتم تلقائيًا معالجة دعوة مجموعة صغيرة من الباحثين في مجال الأمان نيابةً عنك. في كلتا الحالتين، يمكنك إنشاء نموذج دعوة لاستخدامه لدعوة المخترقين إلى خادم VDP الخاص، كما يلي:
مرحبًا، تودّ<اسم مؤسستك> دعوتك للمشاركة في برنامج VDP الخاص. نحن نبدأ على نطاق صغير في الوضع الخاص حتى نتمكّن من الاعتماد على عمليات VDP بهدف توفير أفضل تجربة ممكنة للباحثين في مجال الأمان. يُرجى مراجعة سياسة البرنامج للاطّلاع على إرشادات الاختبار والنطاق. إذا كان لديك أي ملاحظات وآراء إلينا في المراحل الأولى من استخدام VDP، يُرجى إعلامنا بها.بعد دعوة المجموعة الأولى من الباحثين ومنحهم إمكانية الوصول إلى برنامجك، ستبدأ التقارير في الوصول. أو قد لا تتلقى أي تقارير ولكن لا بأس بذلك. لنفترض أنك تدعو خمسة باحثين أمنيين. من المحتمل أن يكون اثنان منهم مشغولين للغاية ويقرران عدم النظر إلى برنامجك على الإطلاق. ربما يكون شخص آخر في إجازة وقد فاتتك رسالة الدعوة تمامًا. وقد يلقي الهاكر الرابع والخامس نظرة ويجريان بعض الاختبارات لمدة يوم أو يومين، لكنهما لا يكتشفان أي ثغرات أمنية. قد يعودون إليه بعد بضعة أسابيع ويبلغون عن شيء ما بعد ذلك، ولكن قد يكون من المدهش أن تراجع كل هذه الأعمال، وترسل الدعوات، ولا تتلقى أي تقارير. إذا حدث هذا، فلا داعي للقلق. هذا أمر طبيعي تمامًا، ولماذا تريد البدء على نطاق صغير وتوسيع نطاقه. إذا أرسلت خمس دعوات ولم تظهر لك كم كبير من التقارير، فأرسل خمس دعوات أخرى، ثم خمس دعوات أخرى، أو عشرة، أو حتى عشرين. إذا كنت تستخدم نظامًا أساسيًا تابعًا لجهة خارجية، فهي تتضمّن آليات آلية من شأنها دعوة المخترقين ببطء بمرور الوقت بناءً على حجم التقارير المطلوب. من ناحية أخرى، إذا تلقّيت عددًا كبيرًا من تقارير الثغرات الأمنية بعد دعوة خمسة باحثين أمنيين فقط، ننصحك بالانتظار حتى ينخفض حجم البلاغات.
الفرز والتكرار
في أول أسبوع أو أسبوعين من إطلاق VDP، قد ترغب في تعيين شخصين أو أكثر في الوقت نفسه للمساعدة في فرز تقارير الثغرات الأمنية الواردة والإبلاغ عن الأخطاء والتواصل مع الباحثين. عادة ما يكون هناك ارتفاع كبير في التقارير عند إطلاق برنامج ما، ثم يستقر مع مرور الوقت. أثناء فرز تقارير الثغرات الأمنية الواردة، قد تتلقى ملاحظات من المخترِقين وتحدِّد الفجوات أو سوء الفهم في سياسة برنامجك. قد تجد أيضًا مشكلات في عملياتك وأدواتك. عندما تبدأ بشيء صغير وتحصل على الكثير من الاهتمام والطاقة من فريقك في هذين الأسبوعين الأولين، استغل هذا الوقت للتكرار وتحسين برنامجك بسرعة. بعد شهر أو شهرين، ستنخفض الأمور، وسيصبح تشغيل برنامجك بسلاسة طبيعة ثانية.
توسيع نطاق وصولك إلى الجمهور، وإطلاقه بشكل علني
عندما يعتاد فريقك على إدارة برنامجك، ستتم دعوة المزيد والمزيد من المخترِقين للمشاركة. لقد قمت بتوسيع نطاقك ليشمل كل ما تعرفه (وحتى الأصول التي ربما لم تكن تدرك وجودها). في نهاية المطاف، قد تصل إلى مرحلة قمت فيها بدعوة مائة أو حتى بضع مئات من المخترقين، ولكن يبدو أن حجم التقارير يتضاءل. يبدو أن التقارير التي يتم إرسالها منخفضة أو متوسطة الخطورة يبدو أن ترتيب المهام بالتناوب خفيف إلى حد ما، وفريقك على دراية جيدة بفرز تقارير الثغرات الأمنية، ودفعها إلى حلها، والتواصل مع المخترقين. في هذه المرحلة، من المحتمل أن تكون جاهزًا لإطلاق برنامجك للجمهور. قبل أن تفعل ذلك، تواصل مع جميع الأطراف المعنية لديك للتأكد من إدراكها وشرائها في الإطلاق العام. كما هو الحال مع الإطلاق الأوّلي الخاص، اجعل فريقك مستعدًّا لارتفاع محتمل آخر في حجم التقارير بشأن الإطلاق العام. أحد الاختلافات الرئيسية عند الإطلاق بشكل علني هو أنه بإمكان أي شخص إرسال تقرير عن الثغرة الأمنية إليك. ضع في اعتبارك أن هذا يمكن أن يخلق الكثير من التشويش. على سبيل المثال، قد يصاب المستخدمون بالارتباك بشأن كيفية تسجيل الدخول إلى حسابهم أو حتى برامج التتبّع غير المرغوب فيها التي تملأ النماذج وترسل الرسائل الإلكترونية تلقائيًا، وهي قد ترسل تقارير إلى VDP. من المفيد أن يكون لديك نماذج لإغلاق التقارير الشائعة غير المتعلقة بالأمان بسرعة، أو حتى منع حدوث ذلك من خلال تعديل النموذج الخاص بك لإعادة توجيه المستخدمين إلى المكان المناسب (على سبيل المثال، موظفو الدعم لأشياء مثل كلمات المرور المنسية). من الناحية الجيدة، إذا فتحت برنامجك أمام الجمهور، فإن المخترقين المهرة الذين لم يتمكنوا من التواصل معك من قبل سيكون بإمكانهم ذلك. قد يساعدك ذلك في اكتشاف الثغرات الأمنية الشديدة أو الحاسمة التي لم تكن تعرف بوجودها. وهو مزوّد أيضًا بجميع المزايا المذكورة سابقًا في هذا الدليل، بما في ذلك توفير قناة موحّدة لمنتدى الاختراق العالمي للكشف عن نقاط الضعف مباشرةً لك، وتقليل خطر الاختراق، وعلاقات عامة سلبية.
الاحتفال بالإنجاز
تهانينا، لقد قطعت شوطًا طويلاً، وأصبح لديك الآن VDP عام. لا تنس الاحتفال مع فريقك وجميع الأطراف المعنية التي ساعدتك طوال العملية. من المهم أن تعبر عن امتنانك وأن تجد طريقة للاحتفال بنجاحك معًا. بالإضافة إلى الاحتفال بإطلاق VDP للجميع، لا تنسَ الاحتفال بالإنجازات التي حقّقتها، مثل الذكرى السنوية لإطلاق الإصدار العلني، أو تسليط الضوء على الأخطاء الملحّة والشيّقة بشكل خاص التي تمّ العثور عليها وإصلاحها من خلال "الVDP". يمكن أن يساعد جمع المقاييس طوال العملية في إظهار نجاح برنامجك وتسليط الضوء على إنجازاتك أنت وفريقك.