قبل از شروع و  پذیرش اولین گزارش های خود ، بیایید برخی از نکات ساده را که باید قبل از شروع برنامه Bug Bounty مورد توجه قرار می گیرد ، مرور کنیم.

 

مدل بلوغ شما

سطح بلوغ امنیتی شما توانایی های شما و گزینه های زیادی را که هنگام اجرای یک برنامه دارید تعیین خواهید کرد. برنامه های باگ باونتی به مانند یک تیم امنیتی پیشرفته متشکل از 50 کارمند نیست. برنامه شما می تواند برای تمامی جامعه امنیتی دنیا قابل مشاهده باشد . (مزیت)

*البته که می توان برنامه های خصوصی نیز برگزار کرد و برای افراد مورد نظر دعوتنامه شرکت در برنامه فرستاده شود

 

ملاحظات سازمانی

هنگام اجرای برنامه Bugy Bug خود ، حتماً یک برنامه سازمان یافته داشته باشید. دستورالعمل های واضح برای تعیین مسیر ، حل مسائل را مشخص کنید و اطمینان حاصل کنید که سیاست امنیتی شما همه مواردی را که در چگونه می توانم یک سیاست امنیتی خوب بنویسم؟ را پوشش می دهد.

 

ملاحظات مهندسی

بعد از من تکرار کنید ، پیگیری ، تریاژ و اصلاح کنید. یک مکانیزم خارجی برای اجازه دادن به شکارچیان برای ارائه گزارش و یک سیستم و تیم ردیابی داخلی برای مدیریت تشدید گزارش ها ی مربوطه داشته باشید. اکثر پلتفرم های باگ باونتی این ویژگی را با ابزار اختصاصی  تهیه می کنند.

 

ارتباطات

از آنجا که بسیاری از موارد موجود در صنعت Bugy Bug مبتنی بر اعتماد است ، ارتباطات مهم است. نه تنها در داخل ، بلکه از نظر بیرونی نیز. به منظور کمک به همکاری در کنار هم و راه اندازی یک وسیله ارتباطی روشن از راه ارتباط داخلی در سایت که لینک به پلتفرم باگ باونتی بدهد مانند آدرس (Security یا  Bbp) برای دسترسی شکارچیان ، در صورت داشتن سؤال در مورد برنامه باگ باونتی شما ، برای شکارچیان و هکرها می توانند با شما تماس بگیرند. آدرس را در خط مشی امنیتی خود بگنجانید.

اگر از آدرسی غیر از Security استفاده می کنید ، همانطور که در RFC2142 تعریف شده است ، به شکارچیان یادآوری کنید که فقط از آن آدرس استفاده کنند تا سؤال بپرسند ، و نه مشکلات امنیتی را گزارش کنید.

 

ردیابی و بررسی بی وقفه

وضعیت رسیدگی به گزارشات و مدیریت برنامه Bug Bounty خود را بصورت بی وقفه انجام دهید و در صفحه نمای کلی و منظم ذخیره و اطلاع دهید .

 

 

اگر تعداد قابل توجهی از  گزارشات تکراری دارید ، این می تواند به معنای بسیاری از موارد باشد – از جمله اینکه شما برای حل مسئله و مشکل  عملکرد کندی دارید و زمان بسیار طولانی می خواهید ، یا اینکه بسیاری از اشکالات “راحت و قابل انجام(بدون تلاش)” را قبول دارید. بیاموزید که الگوهای را ردیابی کنید و متناسب با آن تغییرات را اعمال کنید تا معیارهای کلی خود را بهبود بخشید.

 

 

 

مشوق ها و انگیزه دادن

پاداش به محققان برای یافته های آن ها باید محرک باشد(پیشنهاد مبلغ پاداش بالا )، شکارچیان را با انگیزه حفظ می کند. در پایان ، بهترین برنامه باگ بانتی فهمیده اند که باید با محققین و هکر ها همکاری کنند و نه اینکه در برابر آنها باشند. باگ بانتی باید یک تلاش مشترک برای حفظ منافع هر دو طرف باشد . مراجعه به “چگونه می توانم مبلغ پاداش را تعیین کنم؟”

 

نظر سنجی

برای درک بهتر سطح بلوغ خود ، HackerOne نظرسنجی را انجام داده است که معیارهای گفته شده در بالا را ارزیابی کرده و نتایج را بر روی نمودار ترسیم می کند.

 

برنامه باگ بانتی داخلی یا پلتفرم های باگ بانتی 

برنامه های باگ بانتی می توانند خود شرکت مجری برگزاری آن باشد ،و تصمیم بگیرد که همه چیز را به تنهایی اجرا و مدیریت کند. اما از مزایای استفاده از یک پلتفرم می توان به کارایی ، ابزار مختلف ، کمک و راه حل ها و جامعه بزرگی از هکرها و افرادی باشد که به آن اعتماد دارند به همین علت هکرها و محققین بیشتر تمایل دارند در بستر پلتفرم های باگ بانتی فعالیت داشته باشند .  لطفاً به “از چه بسترهایی استفاده کنم؟” برای دانستن لیست از پلتفرم های Bug Bounty  مراجعه کنید.

 

برنامه های باگ بانتی خصوصی یا عمومی

نکته دیگری که باید در نظر بگیرید این است که آیا برای اجرای یک برنامه باگ بانتی عمومی  یا برنامه خصوصی استفاده می کنید. یک برنامه عمومی به هر کسی امکان می دهد مشارکت کند و موضوعات را گزارش دهد. از طرف دیگر ، یک برنامه خصوصی به طور کلی شرکت باید شکارچیان را  دعوت کند. تا بتوانند هر چیزی را گزارش دهند. جدول زیر جوانب مثبت و منفی دو نوع برنامه را بررسی می کند.

 

نوع مثبت منفی
عمومی
  • هر کسی می تواند شرکت کند
  • روابط عمومی و برخورد خوب
  • در پلتفرم ها خاص ، افشای یک گزارش روند آسانتری دارد.
  • بازخورد عمومی.
  • سر و صدای زیاد.
خصوصی
  • سر و صدای کمتر.
  • معمولاً شرکت کنندگان تفراد بسیار ماهری هستند
  • فقط شکارچیانی که دعوت شده اند می توانند شرکت کنند.
  •  برای مشارکت کنندگان گزارش مشکلات امنیت باید به صندوق صفحه ورودی عمومی (security) مراجعه کند.
  • بازخورد عمومی وجود ندارد

 

 

همچنین امکان شروع کار با یک برنامه خصوصی وجود دارد تا بتوانید احساس خوبی را برای آنچه انتظار دارید داشته باشید و سپس هنگامی که احساس آمادگی کردید یک برنامه عمومی راه اندازی کنید. برخی از برنامه ها ، به اصطلاح برنامه های ترکیبی ، هر دو را با هم ترکیب می کنند و شکارچیانی را که گزارش می دهند موضوعات معتبر در برنامه عمومی خود را به یک نسخه خصوصی از برنامه که سطح حمله بیشتری دارد ، دعوت می کنند.