ছোট শুরু করুন
যদিও এটি আগে উল্লেখ করা হয়েছে, এটি পুনর্বিবেচনা করা মূল্যবান। আপনার প্রোগ্রামটি বিশ্বের কাছে ঘোষণা করে "সর্বজনীনভাবে" চালু করতে প্রলুব্ধ হতে পারে, এবং একটি ইন-হাউস প্রোগ্রামের ক্ষেত্রে, আপনার প্রোগ্রাম নীতি এবং প্রতিবেদন জমা দেওয়ার ফর্ম সর্বজনীনভাবে অ্যাক্সেসযোগ্য করে তোলে। এটি ঝুঁকিপূর্ণ হতে পারে, কারণ এটি আপনাকে ছোট শুরু করার এবং বড় করার সুযোগ দেয় না। আপনি যতই প্রস্তুতি নিন না কেন, আপনি যখন একটি ভিডিপি চালু করেন তখন সর্বদা চমক থাকবে। আপনি প্রত্যাশার চেয়ে বেশি দুর্বলতা পেতে পারেন এবং তা ধরে রাখতে পারবেন না। হতে পারে আপনার দলের অর্ধেক অসুস্থ হয়ে পড়ে এবং বাগগুলি ত্রাণ করতে সাহায্য করতে অক্ষম। সম্ভবত আপনি প্রমাণীকৃত স্ক্যান চালানোর চেষ্টা করতে ভুলে গেছেন, এবং যখন একজন গবেষক এটি করেন, এটি দুর্ঘটনাক্রমে 100,000 নতুন অ্যাকাউন্ট তৈরি করে আপনার সিস্টেমকে প্লাবিত করে! আশ্চর্য যাই হোক না কেন, সময়ের সাথে সাথে আপনার প্রোগ্রামটি ছোট করা এবং ধীরে ধীরে স্কেল করা ভাল। আপনি সমস্যায় পড়বেন, যা সম্পূর্ণ স্বাভাবিক, তবে এই সমস্যাগুলি একবারে পরিচালনা করার জন্য ব্যান্ডউইথ থাকা ভাল।
আপনি যদি আপনার প্রোগ্রাম ইন-হাউস তৈরি করার সিদ্ধান্ত নিয়ে থাকেন তবে আপনি এখনও আপনার প্রোগ্রাম নীতি দাঁড় করাতে এবং আপনার ওয়েবসাইটে জমা দেওয়ার ফর্মটি রিপোর্ট করতে চাইবেন, তবে আপনি এটি দেখতে সক্ষম হওয়ার আগে হ্যাকারদের লগইন করতে চাইতে পারেন। আপনি যদি তৃতীয় পক্ষের প্ল্যাটফর্ম ব্যবহার করেন, তাহলে তারা স্বয়ংক্রিয়ভাবে আপনার জন্য নিরাপত্তা গবেষকদের একটি ছোট সেটকে আমন্ত্রণ জানাবে। উভয় ক্ষেত্রেই, আপনি আপনার ব্যক্তিগত ভিডিপিতে হ্যাকারদের আমন্ত্রণ জানানোর জন্য ব্যবহার করার জন্য একটি আমন্ত্রণ টেমপ্লেট তৈরি করতে পারেন, যেমন:
হ্যালো, <আপনার প্রতিষ্ঠানের নাম> আপনাকে আমাদের ব্যক্তিগত ভিডিপিতে অংশগ্রহণের জন্য আমন্ত্রণ জানাতে চাই। আমরা ব্যক্তিগত মোডে ছোট শুরু করছি যাতে নিরাপত্তা গবেষকদের জন্য সম্ভাব্য সর্বোত্তম অভিজ্ঞতা প্রদানের জন্য আমরা আমাদের ভিডিপি প্রক্রিয়াগুলি তৈরি করতে পারি৷ পরীক্ষার নির্দেশিকা এবং সুযোগের জন্য অনুগ্রহ করে আমাদের প্রোগ্রাম নীতি দেখুন। আমাদের ভিডিপির প্রাথমিক পর্যায়ে আমাদের জন্য আপনার কোন মতামত থাকলে অনুগ্রহ করে আমাদের জানান।আপনার প্রথম সেটের গবেষকদের আমন্ত্রণ জানানোর পরে এবং আপনার প্রোগ্রামে অ্যাক্সেস দেওয়ার পরে, রিপোর্টগুলি আসতে শুরু করবে। অথবা, আপনি কোনও রিপোর্ট পাবেন না, কিন্তু এটি ঠিক আছে। ধরা যাক আপনি পাঁচজন নিরাপত্তা গবেষককে আমন্ত্রণ জানান। এটা সম্ভব যে তাদের মধ্যে দুজন খুব ব্যস্ত এবং আপনার প্রোগ্রামটি মোটেও না দেখার সিদ্ধান্ত নিয়েছে। অন্য একটি ছুটিতে থাকতে পারে এবং সম্পূর্ণরূপে আপনার আমন্ত্রণ বার্তা মিস. চতুর্থ এবং পঞ্চম হ্যাকাররা একবার দেখে নিতে পারে এবং এক বা দুই দিনের জন্য কিছু পরীক্ষা করতে পারে, কিন্তু কোন দুর্বলতা খুঁজে পায় না। তারা কয়েক সপ্তাহ পরে এটিতে ফিরে আসতে পারে এবং তারপরে কিছু রিপোর্ট করতে পারে, তবে এই সমস্ত কাজের মধ্য দিয়ে যাওয়া, আমন্ত্রণ পাঠানো এবং কোনও প্রতিবেদন না পাওয়া এখনও হতবাক হতে পারে। যদি এটি ঘটে, চিন্তা করবেন না। এটি সম্পূর্ণ স্বাভাবিক এবং কেন আপনি ছোট শুরু করতে চান এবং বড় করতে চান। আপনি যদি পাঁচটি আমন্ত্রণ পাঠান এবং খুব বেশি প্রতিবেদনের পরিমাণ দেখতে না পান, তাহলে আরও পাঁচটি পাঠান, তারপর আরও পাঁচটি, বা দশটি বা এমনকি বিশটি পাঠান৷ আপনি যদি তৃতীয় পক্ষের প্ল্যাটফর্ম ব্যবহার করেন, তাদের কাছে স্বয়ংক্রিয় পদ্ধতি রয়েছে যা পছন্দসই প্রতিবেদনের পরিমাণের উপর ভিত্তি করে ধীরে ধীরে হ্যাকারদের আমন্ত্রণ জানাবে। অন্যদিকে, আপনি যদি শুধুমাত্র পাঁচজন নিরাপত্তা গবেষককে আমন্ত্রণ জানানোর পরে বিপুল সংখ্যক দুর্বলতার প্রতিবেদন পান, তাহলে আপনার প্রতিবেদনের পরিমাণ কম না হওয়া পর্যন্ত আপনি আরও আমন্ত্রণ বন্ধ রাখতে চাইতে পারেন।
Triage এবং পুনরাবৃত্তি
আপনার VDP চালু করার পর আপনার প্রথম বা দুই সপ্তাহের জন্য, আপনি ইনকামিং ভলনারেবিলিটি রিপোর্ট, বাগ ফাইল করা এবং গবেষকদের সাথে যোগাযোগ করতে সাহায্য করার জন্য একই সময়ে দুই বা ততোধিক লোককে দায়িত্বে রাখতে চাইতে পারেন। সাধারণত একটি প্রোগ্রাম চালু করার সময় রিপোর্টের একটি বড় স্পাইক থাকে, তারপর এটি সময়ের সাথে সাথে স্থির হয়ে যায়। আপনি ইনকামিং দুর্বলতার প্রতিবেদনগুলি ট্রাইজ করার সাথে সাথে আপনি হ্যাকারদের কাছ থেকে প্রতিক্রিয়া পেতে পারেন এবং আপনার প্রোগ্রাম নীতিতে ফাঁক বা ভুল বোঝাবুঝি সনাক্ত করতে পারেন। আপনি আপনার প্রক্রিয়া এবং টুলিং সমস্যা খুঁজে পেতে পারেন. যেহেতু আপনি ছোট শুরু করেন এবং এই প্রথম কয়েক সপ্তাহে আপনার টিমের কাছ থেকে প্রচুর মনোযোগ এবং শক্তি পান, এই সময়টি দ্রুত পুনরাবৃত্তি করতে এবং আপনার প্রোগ্রামে উন্নতি করতে ব্যবহার করুন। এক বা দুই মাস পরে, জিনিসগুলি মারা যাবে এবং আপনার প্রোগ্রামটি মসৃণভাবে চালানো দ্বিতীয় প্রকৃতিতে পরিণত হবে।
স্কেল আপ, সর্বজনীনভাবে লঞ্চ করুন
আপনার দল আপনার প্রোগ্রাম চালানোর জন্য অভ্যস্ত হওয়ার সাথে সাথে আপনি আরও বেশি হ্যাকারকে অংশগ্রহণের জন্য আমন্ত্রণ জানাবেন। আপনি যা কিছু জানেন (এবং এমন সম্পদ যা আপনি সম্ভবত উপলব্ধি করেননি) অন্তর্ভুক্ত করার জন্য আপনি আপনার সুযোগ প্রসারিত করেছেন। অবশেষে, আপনি এমন একটি বিন্দুতে পৌঁছাতে পারেন যেখানে আপনি একশ, এমনকি কয়েকশ হ্যাকারকে আমন্ত্রণ জানিয়েছেন, কিন্তু প্রতিবেদনের পরিমাণ হ্রাস পাচ্ছে বলে মনে হচ্ছে। সমস্ত রিপোর্ট পাঠানো হচ্ছে কম বা মাঝারি তীব্রতা বলে মনে হচ্ছে. অন ডিউটি ঘূর্ণন মোটামুটি হালকা বলে মনে হচ্ছে, এবং আপনার টিম দুর্বলতার রিপোর্ট ট্রাইজিং, রেজোলিউশনে ঠেলে এবং হ্যাকারদের সাথে যোগাযোগ করতে পারদর্শী। এই মুহুর্তে, আপনি সম্ভবত আপনার প্রোগ্রামটি সর্বজনীনভাবে চালু করতে প্রস্তুত। আপনি এটি করার আগে, আপনার সমস্ত স্টেকহোল্ডারদের সাথে পুনরায় সংযোগ করুন যাতে তারা আপনার সর্বজনীন লঞ্চ সম্পর্কে সচেতন এবং কেনা হয়। আপনার প্রারম্ভিক, ব্যক্তিগত লঞ্চের মতোই, আপনার দলকে আপনার পাবলিক লঞ্চের জন্য রিপোর্ট ভলিউমের আরেকটি সম্ভাব্য স্পাইকের জন্য প্রস্তুত করুন৷ সর্বজনীনভাবে চালু করার সময় একটি মূল পার্থক্য হল যে কেউ আপনার কাছে একটি দুর্বলতার প্রতিবেদন জমা দিতে পারে। মনে রাখবেন এটি প্রচুর শব্দ তৈরি করতে পারে। উদাহরণস্বরূপ, যে ব্যবহারকারীরা তাদের অ্যাকাউন্টে লগইন করবেন তা নিয়ে বিভ্রান্ত হন, এমনকি স্প্যাম বটগুলি ফর্ম পূরণ করে এবং স্বয়ংক্রিয়ভাবে ইমেল প্রেরণ করে আপনার ভিডিপিতে প্রতিবেদন জমা দিতে পারে। সাধারণ অ-নিরাপত্তা সম্পর্কিত প্রতিবেদনগুলি দ্রুত বন্ধ করার জন্য টেমপ্লেটগুলি থাকা মূল্যবান, বা এমনকি ব্যবহারকারীদের সঠিক জায়গায় পুনঃনির্দেশিত করার জন্য আপনার ফর্মটি সামঞ্জস্য করার মাধ্যমে এটিকে প্রাক-এম্পট করা মূল্যবান (উদাহরণস্বরূপ, ভুলে যাওয়া পাসওয়ার্ডগুলির মতো জিনিসগুলির জন্য আপনার সহায়তা কর্মী)৷ উজ্জ্বল দিক থেকে, আপনার প্রোগ্রামটি জনসাধারণের জন্য উন্মুক্ত করে, দক্ষ হ্যাকাররা যাদের আগে আপনার সাথে যোগাযোগ করার কোন উপায় ছিল না তারা এখন তা করতে সক্ষম হবে। এটি আপনাকে উচ্চ বা গুরুতর তীব্রতার দুর্বলতাগুলি উন্মোচন করতে সহায়তা করতে পারে যা আপনি জানেন না যে বিদ্যমান। এটি এই নির্দেশিকায় আগে উল্লিখিত সমস্ত সুবিধার সাথে আসে, যার মধ্যে রয়েছে বিশ্বব্যাপী হ্যাকিং সম্প্রদায়ের জন্য একটি প্রমিত চ্যানেল থাকা যাতে আপনার কাছে সরাসরি দুর্বলতা প্রকাশ করা যায়, লঙ্ঘনের ঝুঁকি হ্রাস করা এবং নেতিবাচক PR।
উদযাপন
অভিনন্দন, আপনি অনেক দূর এগিয়েছেন, এবং এখন আপনার একটি পাবলিক ভিডিপি আছে। আপনার দল এবং সমস্ত স্টেকহোল্ডারদের সাথে উদযাপন করতে ভুলবেন না যারা আপনাকে পথ ধরে সাহায্য করেছে। আপনার কৃতজ্ঞতা প্রকাশ করা এবং একসাথে আপনার সাফল্য উদযাপন করার উপায় খুঁজে বের করা গুরুত্বপূর্ণ। আপনার VDP-এর সর্বজনীন প্রবর্তন উদযাপনের বাইরে, পথ ধরে মাইলফলক উদযাপন করতে ভুলবেন না, যেমন আপনার সর্বজনীন প্রবর্তনের বার্ষিকী, অথবা বিশেষ করে আকর্ষণীয় এবং সমালোচনামূলক বাগগুলি হাইলাইট করে যা আপনার VDP-এর মাধ্যমে পাওয়া এবং সংশোধন করা হয়েছে৷ পথ ধরে মেট্রিক্স সংগ্রহ করা আপনার প্রোগ্রামের সাফল্য প্রদর্শন করতে এবং আপনার এবং আপনার দলের কৃতিত্বগুলিকে হাইলাইট করতে সহায়তা করতে পারে।