啟用 VDP

用較少的預算開始

雖然有提到，但值得重新審視。您可能會想「公開」推出您的計畫 (例如向全世界宣布計畫)，或採用內部計畫，使您的計畫政策和報告提交表單開放公開存取。這可能會產生風險，因為您無法從小規模著手擴充。無論準備多少準備工作 發布 VDP 時一定會發生意外您收到的安全漏洞可能會超出預期，並且無法跟上進度。可能有一半的團隊因生病而無法分類錯誤。也許您忘記執行經過驗證的掃描，而研究人員卻建立 100,000 個新帳戶，意外使系統發生洪水！無論意外狀況為何，最好先從小規模著手，再慢慢擴充計畫。您可能會遇到任何問題，這是正常現象，但最好還是使用頻寬一次處理這些問題。

如果您決定在內部建構計畫，仍然建議您在網站上建立計畫政策和報告提交表單。不過，您可能需要要求駭客必須先登入才能看見。如果您使用第三方平台，該平台會自動為您邀請少數安全性研究人員。無論是何種情況，您都可以建立邀請範本，用來邀請駭客參與您的私人 VDP，如下所示：

第一組研究人員受邀並獲準存取您的計畫後，系統就會開始產生報表。或者您可能不會收到任何報告，但沒關係。假設您邀請五位安全性研究人員。可能是因為兩個成員過於忙碌，決定完全不查看程式。另一位使用者可能正在休假，因此完全錯過你的邀請訊息。第四和第五名駭客可能會看一到兩天的時間進行測試，但最後沒有發現任何安全漏洞。他們可能會在幾週後回來進行回報，但還是要完成所有工作、發送邀請，也不收到任何報告。如果發生這種情況，請別擔心。這屬於正常現象，您為何要從小規模著手再擴大規模。如果您傳送了五次邀請，但是報表量不夠多，請再傳送五次，然後再傳送五、十筆或二十筆。如果您使用第三方平台，這類平台即具備自動化機制，可根據所需的報告量，隨著時間緩慢邀請駭客。另一方面，如果您只邀請五位安全性研究人員後才收到大量的安全漏洞報告，您可能會想在報告量減少之前再發出更多邀請。

分類並反覆測試

在發布 VDP 後的第一或兩週內，您可能需要安排兩名以上的職責同時協助分類收到的安全漏洞報告、回報錯誤，以及與研究人員溝通交流。一般來說，計畫推出時會出現大量的報表，因此會隨著時間而趨於穩定。將收到的安全漏洞報表分類時，您可能會收到駭客的意見回饋，並找出計畫政策中的漏洞或誤解。您也可能會在處理程序和工具中發現問題。如果您一開始是小規模，且在前幾週獲得團隊的注意力和精力，不妨利用這段時間快速疊代及改善您的計畫。一個月或兩個月後，一切就會停止，順暢執行程式也會成為第二次本質。

向上擴充、公開發布

隨著您的團隊習慣執行計畫，您也會邀請更多駭客參加。您已擴大範圍，納入所有已知的資訊 (甚至包括您不知道的資產)。畢竟，您或許會因此到收到一百或幾百名駭客的消息，但報告量卻似乎會日漸降低。所有該階段的報告嚴重性為低或中度。輪值輪換似乎不容易，您的團隊很擅長分類安全漏洞報告、將安全漏洞報告推送至解決方案，並與駭客聯絡。此時，您已準備好公開發布計畫。開始執行前，請先與所有相關人員聯絡，確保他們知道，並已入選您公開發布計畫的名單。與首次公開發布類似，請讓團隊做好準備，以因應另一項可能在公開發布規模上的報告量增加問題。公開發布作業的主要差異在於，任何人都能提交安全漏洞報告給您。請注意，這麼做可能會產生大量雜訊。例如，對於如何登入帳戶的使用者感到困惑，甚至是利用表單填寫並傳送電子郵件的垃圾內容機器人，就可能將報告提交至 VDP。有時候，您可以採用範本來快速關閉常見的非安全性相關報告，甚至可以調整表單，將使用者重新導向至正確位置 (例如忘記密碼之類的支援人員)。更重要的是，您可以將計畫對外公開，讓技術老練的駭客過去無法聯絡您。現在，這或許有助於找出您不知道的高嚴重性或重大嚴重性安全漏洞。此外，本文還具備本文先前提及的所有好處，包括建立全球駭客社群的標準化管道，直接向您揭露安全漏洞，降低資料侵害風險和負面公關風險。

歡慶同樂

恭喜！你的評論成效更上一層樓，且你現已取得公開 VDP。也別忘了和你的團隊及所有相關人士一起慶祝。請務必表達謝意，並設法一起慶祝您的成功。除了慶祝 VDP 公開發布事宜外，也別忘了慶祝各個里程碑，例如產品公開發布的一年週年，或是特別透過 VDP 發現並修正的特別有趣和重大錯誤。收集相關指標有助於證明您的計畫成功，並突顯您和團隊的成就。