每个企业都需要有一个适当的过程处理安全漏洞报告,但一些组织采取更主动的方式来处理安全研究人员。
越来越多的硬件和软件供应商有正式的错误赏金计划。谷歌,例如,运行其自己的漏洞奖励计划和微软多个错误赏金涵盖了办公365,天青,.NET和边缘的覆盖攻击和防御的一般程序。
和国防部美国国防部(DoD)建立了第一个错误赏金经过几年看软件产业的凯蒂Moussouris,现在卢塔安全的CEO说。她先前创建的微软和赛门铁克类似的计划,与FDA合作,创建一个围绕漏洞披露的医疗器械市场的指导和帮助国防部为他们的错误赏金准备在HackerOne工作时。“国防部很好奇那些程序是有效的,无论是参与其中的人以诚信行事,”她告诉CIO。“他们想采取什么是在私营部门工作,快速跟踪到国防部。”
“错误赏金真的只是一个特定的激励漏洞披露的子集。他们可以是一个有用的工具。就像任何其他的激励计划,你要incent某些行为,某些类型的错误,” Moussouris说。