予算を超えずにバグの報奨金を公平に支払う方法は?
私は小さな会社で働いており、私たちのWebアプリケーションでは、重要度に基づいて金銭的報酬で報告された脆弱性のバグ報奨金を提供したいと考えています。問題は、私たちには限られた全体の予算しかなく、私たちが支払うことができないものを約束したくないということです。私の質問は、バグ報奨金プロジェクトの用語を最もよく表現する方法です。
問題を説明するために、架空の数と架空の状況を考えてみましょう。全体の予算が1000だとしましょう。報告された重大な脆弱性に対して200を提供します。
今、私はプログラムを開始し、次々に来る10のレポートを受け取ります。レポートA、B、C、...各レポートには、記者の主張による重大な脆弱性が含まれています。次に、時間をかけて各レポートをチェックし、それが有効かどうかを確認します。その間、私はより多くのレポートを受け取ります。たとえば、最初の5つが重要であると検証しました。記者への支払いに私の予算は使い果たされるでしょうが、私にはまだ有効な脆弱性に関する報告がまだあります。
あなたの提案からここで最善のアプローチは何ですか?分割? 「先入先」に基づいて支払いますか?私は人々に誤った約束を付けさせたくありませんが、私たちの財政を使い果たしたくありません。もちろん、予算が不足していることに気づいたら、報酬の発表を中止します。
また、関連する質問:2人の記者が同じ脆弱性を主張した場合の良い習慣は何ですか?この場合、両方に報酬を与えますか、報酬を分割しますか、それとも最初の報酬のみに報酬を与えますか?つまり、POCを少し変更して、別の名前でレポートすることができます...
あなたの考えをありがとう
あなたはベンダーなので、ルールを作成します。それらについて明確にしてください。
問題は、私たちには限られた全体の予算しかなく、私たちが支払うことができないものを約束したくないということです。
次に、それについて明確にします。プログラムが特別な報酬を支払うチャレンジやイベントを行うことは珍しくありません。最初のN個のクリティカルレポート、または所定の時間枠内に送信された最良のレポートに追加料金を支払う。したがって、予算を「リワードポット」として設定し、それがなくなるまで賞金を支払うことができます。または、ランキング(月次など)に基づいて報酬を与えます-最高のレポートはX、次に最高のYを取得します...このようにして、予算に上限を設けることができます。報酬体系を明確に説明し、それを守るようにしてください。
2人の記者が同じ脆弱性を主張した場合、どのような方法が良いでしょうか?この場合、両方に報酬を与えますか、報酬を分割しますか、それとも最初の報酬のみに報酬を与えますか?
常に最初のレポートにのみ報酬を与えます。 (タイムスタンプを混同していないことを再確認してください。)レポートが重複していると聞いてイライラすることがありますが、バグハンターはこのリスクについて知っています。また、オリジナルの複製のレポーターにCCを付けることは良い習慣です。そうすることで、彼らは確かに以前のレポートがあり、進行状況を追跡できることを証明します。
私が実際のBBPで見たいくつかの追加のプラクティス:
- 低いバウンティから始めて、次の段階に進みます。ルールでは、プログラムのテスト段階後に賞金が増えることを明言できます。
- 報告された複数のバグが同じ根本原因を共有する場合は、それらを1つとして扱い、報います。
- 多くの有効なレポートが同じコンポーネントをターゲットにしていることに気付いた場合は、一時的にスコープから除外し(ただし、以前のレポートに報酬を与えます!)、スコープに戻す前に手動監査を実施します。