این صفحه به‌وسیله ‏Cloud Translation API‏ ترجمه شده است.

راه اندازی VDP شما

از کوچک شروع کنید

در حالی که قبلاً به این موضوع اشاره شده است، ارزش بازنگری را دارد. ممکن است وسوسه انگیز باشد که برنامه خود را به صورت "عمومی" با اعلام آن به جهانیان راه اندازی کنید، و در مورد یک برنامه داخلی، در دسترس قرار دادن خط مشی برنامه و فرم ارسال گزارش خود به صورت عمومی. این می تواند مخاطره آمیز باشد، زیرا فرصتی برای شروع کوچک و افزایش مقیاس به شما نمی دهد. مهم نیست چقدر آماده می‌شوید، همیشه هنگام راه‌اندازی یک VDP شگفت‌انگیز وجود خواهد داشت. ممکن است آسیب‌پذیری‌های بیشتری از حد انتظار دریافت کنید و نتوانید آن را ادامه دهید. شاید نیمی از تیم شما بیمار شوند و نتوانند به تریاژ اشکالات کمک کنند. شاید فراموش کرده‌اید که اسکن‌های تأیید شده را اجرا کنید، و وقتی محققی این کار را انجام می‌دهد، به طور تصادفی با ایجاد 100000 حساب جدید، سیستم شما را پر می‌کند! سورپرایز هرچه که باشد، بهتر است برنامه خود را به صورت کوچک شروع کنید و به آرامی برنامه خود را در طول زمان افزایش دهید. شما با مشکلاتی مواجه خواهید شد که کاملا طبیعی است، اما بهتر است پهنای باندی برای رسیدگی به این مسائل یکی یکی داشته باشید.

اگر تصمیم گرفته‌اید برنامه‌تان را در داخل بسازید، همچنان می‌خواهید خط‌مشی برنامه‌تان و فرم ارسال گزارش را در وب‌سایت خود حفظ کنید، اما ممکن است بخواهید از هکرها بخواهید که قبل از دیدن آن، وارد سیستم شوند. اگر از یک پلت فرم شخص ثالث استفاده می کنید، آنها به طور خودکار دعوت از مجموعه کوچکی از محققان امنیتی را برای شما انجام می دهند. در هر صورت، می توانید یک قالب دعوت ایجاد کنید تا از هکرها به VDP خصوصی خود دعوت کنید، مانند این:

سلام، <نام سازمان شما> از شما دعوت می کند در VDP خصوصی ما شرکت کنید. ما در حال شروع کوچک در حالت خصوصی هستیم، بنابراین می‌توانیم بر اساس فرآیندهای VDP خود برای ارائه بهترین تجربه ممکن برای محققان امنیتی ایجاد کنیم. لطفاً خط مشی برنامه ما را برای آزمایش دستورالعمل ها و دامنه بررسی کنید. اگر در مراحل اولیه VDP ما بازخوردی برای ما دارید، لطفاً به ما اطلاع دهید.

پس از اینکه اولین گروه از محققان شما دعوت شدند و به برنامه شما دسترسی پیدا کردند، گزارش‌ها شروع می‌شود. یا ممکن است هیچ گزارشی دریافت نکنید، اما اشکالی ندارد. فرض کنید شما پنج محقق امنیتی را دعوت کرده اید. ممکن است دو نفر از آنها خیلی شلوغ باشند و تصمیم بگیرند که اصلاً برنامه شما را نگاه نکنند. یکی دیگر ممکن است در تعطیلات باشد و پیام دعوت شما را به کلی از دست بدهد. هکرهای چهارم و پنجم ممکن است نگاهی بیندازند و یک یا دو روز آزمایش کنند، اما هیچ آسیب‌پذیری پیدا نکنند. آنها ممکن است چند هفته بعد دوباره به آن مراجعه کنند و چیزی را گزارش کنند، اما هنوز هم می تواند تکان دهنده باشد که تمام این کارها را مرور کنید، دعوت نامه ارسال کنید و هیچ گزارشی دریافت نکنید. اگر این اتفاق افتاد، نگران نباشید. این کاملاً طبیعی است و چرا می خواهید از کوچک شروع کنید و در مقیاس بزرگ تر شروع کنید. اگر پنج دعوت نامه ارسال می کنید و حجم گزارش زیادی نمی بینید، پنج دعوت نامه دیگر ارسال کنید، سپس پنج، ده یا حتی بیست مورد دیگر ارسال کنید. اگر از یک پلتفرم شخص ثالث استفاده می کنید، آنها مکانیسم های خودکاری دارند که هکرها را به آرامی بر اساس حجم گزارش مورد نظر دعوت می کند. از سوی دیگر، اگر تنها پس از دعوت از پنج محقق امنیتی، تعداد زیادی گزارش آسیب‌پذیری دریافت می‌کنید، ممکن است بخواهید از دعوت بیشتر خودداری کنید تا حجم گزارش شما کاهش یابد.

تریاژ و تکرار

برای اولین یا دو هفته پس از راه‌اندازی VDP، ممکن است بخواهید دو یا چند نفر را همزمان در حال انجام وظیفه داشته باشید تا به بررسی گزارش‌های آسیب‌پذیری دریافتی، ثبت باگ‌ها و برقراری ارتباط با محققان کمک کنند. معمولاً در هنگام راه اندازی یک برنامه، گزارش های زیادی وجود دارد، سپس با گذشت زمان حل می شود. همانطور که گزارش‌های آسیب‌پذیری دریافتی را تریاژ می‌کنید، ممکن است بازخوردی از هکرها دریافت کنید و شکاف‌ها یا سوء تفاهم‌ها را در خط‌مشی برنامه‌تان شناسایی کنید. همچنین ممکن است مشکلاتی را در فرآیندها و ابزار خود پیدا کنید. از آنجایی که در چند هفته اول شروع به کار می کنید و توجه و انرژی زیادی از طرف تیم خود دارید، از این زمان برای تکرار سریع و بهبود برنامه خود استفاده کنید. پس از یک یا دو ماه، همه چیز از بین می رود و اجرای نرم و روان برنامه شما به طبیعت دوم تبدیل می شود.

مقیاس را افزایش دهید، به صورت عمومی راه اندازی کنید

همانطور که تیم شما به اجرای برنامه شما عادت می کند، هکرهای بیشتری را برای شرکت دعوت خواهید کرد. شما دامنه خود را گسترش داده اید تا همه چیزهایی را که در مورد آنها می دانید (و حتی دارایی هایی که احتمالاً از وجود آنها اطلاع نداشتید) را شامل شود. در نهایت، ممکن است به نقطه‌ای برسید که صدها یا حتی چند صد هکر را دعوت کرده باشید، اما به نظر می‌رسد حجم گزارش‌ها رو به کاهش است. به نظر می رسد همه گزارش هایی که ارسال می شود با شدت کم یا متوسط باشد. به نظر می‌رسد که چرخش در حین کار نسبتاً سبک است و تیم شما در بررسی گزارش‌های آسیب‌پذیری، سوق دادن آن‌ها به سمت حل و فصل و برقراری ارتباط با هکرها به خوبی تبحر دارد. در این مرحله، احتمالاً آماده راه اندازی برنامه خود به صورت عمومی هستید. قبل از انجام این کار، دوباره با همه ذینفعان خود ارتباط برقرار کنید تا مطمئن شوید که از راه اندازی عمومی شما آگاه هستند و آنها را خریداری می کنند. مشابه راه اندازی اولیه و خصوصی خود، تیم خود را برای افزایش احتمالی دیگری در حجم گزارش برای راه اندازی عمومی خود آماده کنید. یکی از تفاوت های کلیدی هنگام راه اندازی عمومی این است که هر کسی می تواند گزارش آسیب پذیری را برای شما ارسال کند. به خاطر داشته باشید که این می تواند نویز زیادی ایجاد کند. به عنوان مثال، کاربرانی که در مورد نحوه ورود به حساب خود سردرگم هستند، یا حتی ربات های اسپم که فرم ها را پر می کنند و به طور خودکار ایمیل ارسال می کنند، ممکن است گزارش هایی را به VDP شما ارسال کنند. وجود الگوهایی برای بستن سریع گزارش‌های رایج غیرامنیتی، یا حتی با تنظیم فرم خود برای هدایت کاربران به مکان مناسب (مثلاً کارکنان پشتیبانی شما برای مواردی مانند رمزهای فراموش شده) ارزشمند است. از طرف دیگر، با باز کردن برنامه خود برای عموم، هکرهای ماهری که قبلاً هیچ راهی برای تماس با شما نداشتند، اکنون می توانند این کار را انجام دهند. این ممکن است به شما کمک کند آسیب‌پذیری‌هایی با شدت بالا یا بحرانی را که نمی‌دانستید وجود دارند، کشف کنید. همچنین با تمام مزایای ذکر شده در این راهنما همراه است، از جمله داشتن یک کانال استاندارد برای جامعه جهانی هک برای افشای آسیب‌پذیری‌ها به طور مستقیم برای شما، کاهش خطر نقض و روابط عمومی منفی.

جشن گرفتن

تبریک می گویم، شما راه طولانی را پیموده اید و اکنون یک VDP عمومی دارید. فراموش نکنید که با تیم خود و همه سهامدارانی که در این راه به شما کمک کردند جشن بگیرید. مهم است که قدردانی خود را ابراز کنید و راهی برای جشن گرفتن موفقیت خود در کنار هم بیابید. فراتر از جشن راه‌اندازی عمومی VDP خود، فراموش نکنید که نقاط عطف در طول راه را جشن بگیرید، مانند سالگرد راه‌اندازی عمومی خود، یا با برجسته کردن اشکالات بسیار جالب و مهمی که از طریق VDP شما پیدا و برطرف شده‌اند. جمع آوری معیارها در طول مسیر می تواند به نشان دادن موفقیت برنامه شما و برجسته کردن دستاوردهای شما و تیمتان کمک کند.