Гайд из 8 шагов: как запустить программу багбаунти
Ничего лучше быстрых выплат для повышения мотивации работать с компанией еще не придумали. Если есть возможность, можно выплатить гонорар после подтверждения обнаружения бага, не дожидаясь его устранения. Кроме того, если багхантер нашел критичную уязвимость вне объявленной зоны поиска, хорошим тоном будет все равно ему заплатить.
Конечно, ключевой мотиватор работы над поиском багов — финансовое вознаграждение. Но есть и дополнительные возможности привлечь внимание к своему проекту.
Пример формирования бюджета:
Признание профессионализма и заслуг — важный фактор для багхантеров. Можно предложить успешному эксперту повышение рейтинга на площадке, возможность разместить информацию о решении вашего кейса в публичном поле, выдать официальную благодарность от руководства компании или фирменный «мерч». Также необходимо помнить, что работа с багхантерами — это взаимовыгодное сотрудничество. Поэтому важно разбирать все недопонимания с исследователями и стараться развернуто отвечать, например, почему отчет не приняли или понизили уровень критичности уязвимости. Комьюнити багхантеров довольно узкое, поэтому слухи о недобросовестных компаниях разойдутся в нем довольно быстро.
Развернуть
Полный текст статьи читайте на CNews
