Bug Bounty程序与katie moussouris的DO和Notes

2021-04-08 03:40:22

黑客和安全研究人员可以成为您最大的资产,帮助您的启动保持安全。漏洞披露和BUG赏金计划是与黑客社区合作的一部分,以构建更强大的更具弹性的公司。但这些不是安全投资的替代,这是您不应该忽视的不断增长的公司。

Katie Moussouris一直处于网络安全界,因为世界上一些最大的技术公司是初创公司,并帮助建立了第一个漏洞披露和Bug赏金计划。运行咨询公司Luta Security的Moussouris,现在建议公司和政府如何与黑客交谈以及他们需要做些什么来构建和改进其脆弱性披露计划。

在TC早期阶段,Moussouri解释了什么初创公司应该(而不应该),以及首先应该是什么优先事项。

单独赏金的错误是不够的,并将过程外包给平台不会节省您的时间。 Moussouris解释了基础知识,脆弱性披露,渗透测试和Bug奖励之间的不同之处。

漏洞披露是您了解从外部漏洞的过程。您在内部摘要在内部在组织内摘要,并弄清楚与它有关 - 是否创建修补程序,如何优先考虑该修补程序,然后将其发布到公众的内容是什么组织所需的内容关于如何适当处理这些问题的指导方针。

接下来,我们已经获得了渗透测试:雇用职业黑客的合同[谁有]与您的问题集合的特定技能组成,您支付给他们。他们在不受欢迎的协议(NDA)下,只要您需要它们 - 可能是永远的漏洞 - 或许 - 您可以闲暇时享受您是否解决这些漏洞。

最后,Bug Bounties只是为漏洞泄露程序的过程添加了现金奖励。 (时间戳:3:20)