這也是筆者的法治和和黑鍋的人治兩種解決方式,看官可以根據企業(yè)自身特點進行選擇。筆者認為短期可以通過采取調集精兵強將的精兵政策來實現(xiàn)人治,但是長期運營還是需要依靠法治來實現(xiàn)。
漏洞獎勵方法,如何保證獎勵不傷害到漏洞提交者積極性,獎勵要有足夠的價值,同樣也應該有足夠的覆蓋面來鼓勵后進者。目前只要有兩種機制,排名制和積分制,各有利弊。
筆者很反對排名制進行獎勵,因為排名制會導致讓獎勵基本圍繞在排名靠前的幾個老手身上,而很多新人或者技術新手無法享受平臺的獎勵,有些時候還會產生不好的競爭情況,對平臺長久運營不利。筆者比較傾向積分制,因為積分可以讓新人盡早收獲到獎品,雖然獎品可能不貴重,但是對促進新人融入平臺卻有很大的幫助,漏洞提交上不會受時間影響。雖然可能兌換制開銷會比積分制大一些,如果考慮經費不足或者其他原因需要控制經費,可以通過提高,這樣漏洞提交者也會理解。
結束語
企業(yè)漏洞收集平臺是對企業(yè)安全體系的很好的補充,運營的好壞很大程度上會影響漏洞平臺發(fā)揮的作用。因為漏洞提交者能將自己付出勞動找到的漏洞提交給企業(yè)漏洞收集平臺,也是對企業(yè)本身的認可。所以不僅僅需要企業(yè)對平臺有足夠的技術和資金投入,還需要運營平臺的企業(yè)安全人員給予漏洞提交者更好的耐心和更多的理解。