了解 inDrive 的漏洞赏金计划如何通过与白帽黑客合作检测漏洞和优化安全流程来加强网络安全。

介绍

在数字技术渗透到我们生活方方面面的世界中，网络安全至关重要。世界各地的公司都在大力投资保护其数据和系统免受网络威胁。加强安全性的最有效方法之一是与独立安全专家（也称为“白帽黑客”）合作。

本文将对计划启动漏洞赏金计划或已经启动漏洞赏金计划的公司有所帮助。我们将分享我们在 inDrive 组织和开发漏洞赏金计划的经验，以及它如何帮助加强我们的网络安全。

我们还想指出，您不应将自己局限于漏洞赏金计划，因为它不是解决所有安全问题的灵丹妙药。漏洞赏金可以帮助您识别一些漏洞，但它并不能涵盖所有可能的威胁。您需要采取全面的安全方法，包括使用各种安全工具和技术。

如下图所示，不同的工具检测到的漏洞数量不同，这强调了结合自动扫描程序、静态和动态代码分析、安全审计和员工培训等方法的重要性。

开始

最初，我们的漏洞赏金计划以封闭模式运作。这使我们能够控制漏洞猎人的流量，逐步发出邀请并跟踪结果。这种方法使我们有机会悄悄地调试和改进内部流程。得益于此，我们能够为公开做准备。

整合与分类

识别漏洞赏金计划中的漏洞是关键步骤。我们使用与 Slack 和 Jira 的自动集成来使此过程快速而高效。

松弛

我们使用两个渠道：

• 报告处理过程中沟通关键事件的主要渠道。这包括新报告的通知、向工程师分配任务以及漏洞披露请求。此渠道使团队能够始终了解关键事件。

• 另一个渠道是供参与报告初步分析和分类的员工使用的。报告评论和分类详细信息等非紧急活动的通知将在此发送。

账户匹配

建立 HackerOne 与 Slack 用户之间的映射，确保重要评论和报告说明直接传递给责任方，最大限度地降低遗漏重要信息的风险。这简化了 inDrive 安全团队与研究人员之间的沟通，促进更有效的漏洞修复。

吉拉

与 Jira 集成允许您仅在正确的位置使用一组特定字段创建任务。使用 Jira Automation 功能，我们创建了自己的任务处理规则，以改进我们的内部漏洞处理流程，使我们能够有效地组织此流程。以下是此自动化的一个示例：

• 自动发现：系统会自动将漏洞赏金值填充到“发现者”字段中，以指示分析任务的来源。

• 任务分配：使用规则，自动将任务分配给工程师，确保工作均匀分配。

• Slack 通知：分配任务时，会向 Slack 发送通知，其中提及工程师并提供所有必要的信息。

对于严重漏洞：

• 发送消息到专用的 Slack 频道：严重漏洞的通知将发送到单独的频道以便立即得到响应。

• 发送短信：另外，还会向负责人发送短信通知。

使用触发器打击垃圾邮件

HackerOne 中的触发器是一款功能强大的工具，它允许您自动执行各种操作以响应与新漏洞报告相关的某些事件。它们大大简化了安全团队的工作，并有助于优化响应报告的流程。

例如，在将公司品牌从 inDriver 更名为 inDrive 时，我们经常遇到有关社交媒体账户问题的报告。

我们自定义了触发器如下：

• 触发条件：如果报告包含以下列表中的单词：媒体、社交、Facebook、Twitter、Instagram。

• 触发操作：检测到指定条件时，会自动向研究人员显示一个弹出窗口，其中包含以下警告文本： “您好，您似乎即将报告社交媒体链接（Instagram、Twitter、Facebook）的问题。我们公司正在进行品牌重塑，我们已意识到这个问题。我们暂时不接受有关此问题的报告，因此我们敦促您在继续提交报告之前正确确认问题并熟悉安全政策。”

这不仅有助于减少不适当报告的数量，而且还能教育研究人员，提高未来报告的质量。

竞选活动和电报频道

我们知道，随着时间的推移，该计划的活动将会减少。这是一个自然过程，因为最明显的漏洞已经被发现并消除，而再次吸引研究人员的关注则需要付出更多努力。为了保持对我们计划的高参与度和兴趣，我们采取了许多措施。

其中一个关键工具是我们为漏洞猎人专门设立的 Telegram 频道。该频道不仅是一种交流方式，也是分享有用信息的平台。我们积极分享有关我们应用程序的信息，并提供可帮助研究人员发现我们服务中漏洞的材料。这可能是技术文档、新功能描述或从安全角度可能感兴趣的架构更改。

我们的 Telegram 频道的主要优势：

• 官方更新：来自 inDrive 安全团队的直接可靠的新闻。
• 新功能公告：有关漏洞赏金爱好者可能感兴趣的新服务和功能的信息。
• 促销和活动：有关漏洞赏金计划的特别优惠和活动的信息。

您可以通过以下链接找到有关该频道的更多信息—— https://t.me/indrive_bbp。

此外，为了吸引新手和经验丰富的漏洞猎人，我们会定期在 HackerOne 平台上发起活动。活动可以激发漏洞猎人对我们计划的兴趣。我们还通过 Telegram 频道宣布所有活动启动，这使我们能够快速向观众传达信息并鼓励他们参与。

例如，以下是其中一个活动的统计数据：

这些措施使我们能够保持对bugbounty计划的高度兴趣，确保不断涌现新的想法和发现，最终有助于提高我们产品的安全性。

我们的技巧将帮助您大幅缩短漏洞处理每个阶段所需的时间 — — 从首次响应时间到分类时间再到赏金时间。

而这反过来又会增加参与您计划的漏洞猎人的信任和满意度。

总之，我们在 inDrive 组织和开发漏洞赏金计划的经验生动地说明了聘请外部安全专家如何显著增强公司的网络防御能力。得益于我们的白帽黑客社区，我们不仅能够识别和修复许多漏洞，而且还优化了我们的内部流程，从而提高了我们的效率并增强了我们系统和数据的保护。

我们感谢所有漏洞赏金计划的参与者为 inDrive 的安全做出的宝贵贡献，并邀请新的研究人员加入我们的社区。我们将共同努力，让数字世界更安全！