這也是筆者的法治和和黑鍋的人治兩種解決方式�����,看官可以根據企業(yè)自身特點進行選擇。筆者認為短期可以通過采取調集精兵強將的精兵政策來實現(xiàn)人治�����,但是長期運營還是需要依靠法治來實現(xiàn)����。
漏洞獎勵方法���,如何保證獎勵不傷害到漏洞提交者積極性,獎勵要有足夠的價值���,同樣也應該有足夠的覆蓋面來鼓勵后進者����。目前只要有兩種機制���,排名制和積分制��,各有利弊��。
筆者很反對排名制進行獎勵�,因為排名制會導致讓獎勵基本圍繞在排名靠前的幾個老手身上����,而很多新人或者技術新手無法享受平臺的獎勵,有些時候還會產生不好的競爭情況��,對平臺長久運營不利����。筆者比較傾向積分制�,因為積分可以讓新人盡早收獲到獎品��,雖然獎品可能不貴重��,但是對促進新人融入平臺卻有很大的幫助����,漏洞提交上不會受時間影響。雖然可能兌換制開銷會比積分制大一些��,如果考慮經費不足或者其他原因需要控制經費��,可以通過提高���,這樣漏洞提交者也會理解���。
結束語
企業(yè)漏洞收集平臺是對企業(yè)安全體系的很好的補充,運營的好壞很大程度上會影響漏洞平臺發(fā)揮的作用�。因為漏洞提交者能將自己付出勞動找到的漏洞提交給企業(yè)漏洞收集平臺,也是對企業(yè)本身的認可����。所以不僅僅需要企業(yè)對平臺有足夠的技術和資金投入,還需要運營平臺的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解��。
