২০ নভে, ২০২৫·7 মিনিট
ভালনারেবিলিটি ডিসক্লোজার প্রোগ্রাম: ছোট টিমের জন্য প্রারম্ভিক গাইড
জানুন একটি vulnerability disclosure program কি, কেন নেতারা এটিকে ব্যবসায়িক যুক্তি দিয়েছেন, এবং ছোট টিম কিভাবে স্কোপ, ট্রায়াজ ও সময়রেখা নির্ধারণ করবে।
জানুন একটি vulnerability disclosure program কি, কেন নেতারা এটিকে ব্যবসায়িক যুক্তি দিয়েছেন, এবং ছোট টিম কিভাবে স্কোপ, ট্রায়াজ ও সময়রেখা নির্ধারণ করবে।
অধিকাংশ টিমের কাছে ইতোমধ্যেই সিকিউরিটি ফিডব্যাক আসে। শুধু তাদের পড়ার জন্য একটি নিরাপদ জায়গা নেই।
একটি ভালনারেবিলিটি ডিসক্লোজার প্রোগ্রাম গবেষক ও গ্রাহকদের একটি স্পষ্ট, আইনি এবং সম্মানজনক উপায় দেয় সমস্যাগুলি রিপোর্ট করার আগে সেগুলো শিরোনাম হয়। যদি কোনো পলিসি না থাকে, রিপোর্টগুলো সবচেয়ে খারাপ সময়ে, ভুল চ্যানেলে এবং অস্পষ্ট প্রত্যাশার সাথেই আসে। একজন সদিচ্ছাশীল গবেষক ব্যক্তিগত ঠিকানায় ইমেইল পাঠাতে পারে, মনোযোগ পেতে পাবলিক পোস্ট করতে পারে, বা কেউ রিপ্লাই না করা পর্যন্ত বারবার পরীক্ষা চালাতে পারে। একটি প্রোগ্রামের সাথে, সবাই জানে কোথায় রিপোর্ট পাঠাতে হবে, কোন টেস্টিং অনুমোদিত এবং আপনার টিম পরবর্তী কী করবে।
সমস্যা আগে খোঁজা গুরুত্বপূর্ণ কারণ বাগ একবার exploit হলে খরচ দ্রুত বাড়ে। একটি ছোট অথেনটিকেশন ভুল যদি একটা শান্ত সপ্তাহে ধরা পড়ে তাহলে সেটা এক দিনের ফিক্স হতে পারে। একই ভুলটি যদি ব্যবহার করা হয়ে যায়, তাহলে তা জরুরি প্যাচ, ইনসিডেন্ট রেসপন্স, কাস্টমার সাপোর্ট লোড এবং দীর্ঘমেয়াদী বিশ্বাস ক্ষতিসহ বড় ঝামেলা তৈরি করতে পারে।
VDP বনাম বাগ বাউন্টি চিন্তাধারা ঋজু করে বললে:
Katie Moussouris এমন একটি ব্যবসায়িক ফ্রেমিং প্রচার করতে সাহায্য করেছেন যা কোম্পানিগুলোর কাছে বাগ বাউন্টি গ্রহণ করা সহজ করে তোলে: সিকিউরিটি গবেষকরা “শত্রু” নন। তারা মানেজ করা, পজিটিভ-সাম ইনপুট হিসেবে কোয়ালিটির জন্য কাজ করতে পারে। একই যুক্তি VDP-তে প্রযোজ্য। আপনি trouble আমন্ত্রণ করছেন না, আপনি এমন সমস্যাগুলোর জন্য একটি নিয়ন্ত্রিত ইনটেক তৈরি করছেন যা ইতোমধ্যেই বিদ্যমান।
দ্রুত শিপ করা একটি ছোট টিমের (ধরা যাক, React ফ্রন্টএন্ড ও একটি API সহ একটি ওয়েব অ্যাপ) জন্য ফলাফল প্রায়ই তৎক্ষণাৎ দেখা যায়: কম অপ্রত্যাশিত উত্তেজনা, স্পষ্ট ফিক্স অগ্রাধিকার এবং নিরাপত্তা রিপোর্টকে গুরুত্ব দেওয়ার জন্য একটি সুনাম।
একটি vulnerability disclosure program (VDP) হল মানুষের আপনার কাছে সিকিউরিটি সমস্যা রিপোর্ট করার এবং আপনার টিম নিরাপদভাবে প্রতিক্রিয়া জানাবার জন্য একটি পাবলিক, পূর্বানুমেয় উপায়। এটা পুরস্কার দেওয়ার মত কিছু নয়। উদ্দেশ্য হল ব্যবহারকারীদের ক্ষতি হওয়ার আগে সমস্যা ঠিক করা।
সাধারণত তিনটি গ্রুপ অংশ নেয়: সক্রিয়ভাবে সমস্যা খুঁজে দেখা security researchers, সন্দেহজনক আচরণ লক্ষ্য করা গ্রাহকরা, এবং কর্মরত সময়ে ত্রুটি খুঁজে পাওয়া কর্মী বা কনট্রাক্টর। সবাই একই সরল রিপোর্টিং পথ চায়।
রিপোর্টগুলো সাধারণত একটি উৎসর্গীকৃত ইমেইল ঠিকানা, একটি ওয়েব ফর্ম, বা একটি টিকিটিং ইনটেকের মাধ্যমে আসে। একটি ছোট টিমের জন্য সবচেয়ে বেশি যা গুরুত্বপূর্ণ তা হলো ইনবক্সটি কার কাছে আছে তা জানা, নজর রাখা এবং সাধারণ সাপোর্ট থেকে আলাদা করা।
একটি শক্তিশালী রিপোর্ট আপনার কাছে দ্রুত পুনরুত্পাদনের জন্য পর্যাপ্ত বিবরণ দেয়: কি পাওয়া গেছে, কেন এটি গুরুত্বপূর্ণ, পুনরুত্পাদনের ধাপ, কোন সিস্টেম বা এন্ডপয়েন্ট প্রভাবিত, এবং প্রভাবের প্রমাণ। সাজেস্টেড ফিক্সগুলো ভালো তবে ঐচ্ছিক।
রিপোর্ট পৌঁছানোর পর, আপনি লিখিতভাবে কয়েকটি প্রতিশ্রুতি দেন, সাধারণত একটি responsible disclosure পলিসিতে। ছোট দিয়ে শুরু করুন এবং কেবলই সেইটা প্রতিশ্রুতি দিন যা আপনি রাখতে পারেন। ন্যূনতম: আপনি রিপোর্ট স্বীকার করবেন, বেসিক ট্রায়াজ করবেন, এবং রিপোর্টারকে আপডেট রাখবেন।
পর্দার পিছনে ফ্লোটি সরল: গ্রহণের স্বীকৃতি দিন, ইস্যুটি নিশ্চিত করুন, গুরুত্ব নির্ধারণ করুন, একজন মালিক নিয়োগ করুন, এটি মেরামত করুন, এবং সমাধান না হওয়া পর্যন্ত স্ট্যাটাস কমিউনি케ট করুন। যদিও আপনি সাথে সাথে ঠিক করতে না পারলেও নিয়মিত আপডেট বিশ্বাস গড়ে তোলে এবং বারবার পিং হওয়া কম করে।
একটি VDP হলো বেসলাইন। আপনি একটি নিরাপদ রিপোর্টিং পথ প্রকাশ করেন, কি টেস্টিং অনুমোদিত তা ব্যাখ্যা করেন, এবং প্রতিক্রিয়া দেওয়ার প্রতিশ্রুতি দেন। কোনো টাকা প্রয়োজন নেই। “চুক্তি” হলো উভয় পক্ষের স্পষ্টতা ও ভাল-ফেইথ।
বাগ বাউন্টি পুরস্কার যোগ করে। আপনি এটি সরাসরি চালাতে পারেন (ইমেইল প্লাস পেআউট পদ্ধতি) বা একটি প্ল্যাটফর্মের মাধ্যমে যা গবেষকদের পৌঁছানো, রিপোর্ট হ্যান্ডলিং, ও পেমেন্টে সাহায্য করে। ট্রেডঅফ হলো বেশি মনোযোগ, বেশি ভলিউম এবং দ্রুত কাজ করার চাপ।
যখন আপনার টিম লোড সামলাতে পারে তখন বাউন্টি যুক্ত করার অর্থ আছে। যদি আপনার প্রোডাক্ট প্রতিদিন বদলায়, লগিং দুর্বল, বা কারো ওপর সিকিউরিটি ট্রায়াজের দায়িত্ব না থাকে, তাহলে বাউন্টি এমন একটি কিউ তৈরি করতে পারে যা আপনি পরিষ্কাr করতে পারবেন না। যখন আপনার কাছে একটি স্থিতিশীল সারফেস আছে, যথেষ্ট এক্সপোজার আছে বাস্তব findings আকর্ষণ করার জন্য, কয়েক দিনের বা সপ্তাহের মধ্যে ট্রায়াজ ও ফিক্স করার ক্ষমতা আছে, এবং স্পষ্ট বাজেট ও পেমেন্ট পদ্ধতি আছে — তখন বাউন্টি বিবেচনা করুন।
পুরস্কারের ক্ষেত্রে, এটাকে সাধারণ রাখুন: সেভেরিটি অনুযায়ী স্থির রেঞ্জ (লো থেকে ক্রিটিকাল), এবং অসাধারণভাবে স্পষ্ট, পুনরুত্পাদনযোগ্য রিপোর্টের জন্য ছোট বোনাস।
পেআউট কেবল ব্যবসায়িক কেসের একটি অংশ। বড় জয় হলো আগে সতর্কবার্তা ও কম ঝুঁকি: কম অপ্রত্যাশিত ইনসিডেন্ট, ইঞ্জিনিয়ারিং-এ ভাল সিকিউরিটি অভ্যাস, এবং ক্রেতা রিভিউ সময়ে দেখানোর জন্য একটি ডকুমেন্টেড প্রক্রিয়া।
একটি ভালো VDP এক প্রতিশ্রুতি দিয়ে শুরু করে: আপনি সেই রিপোর্টগুলো দেখবেন যেগুলো আপনি বাস্তবে যাচাই ও মেরামত করতে পারবেন। যদি স্কোপ খুব বিস্তৃত হয়, রিপোর্টগুলো জমে যাবে, গবেষকরা হতাশ হবে, এবং আপনি যে বিশ্বাস অর্জন করার চেষ্টা করছেন তা হারাবেন।
আপনি end-to-end মালিকানাধীন অ্যাসেট দিয়ে শুরু করুন। বেশিরভাগ ছোট টিমের জন্য অর্থ প্রোডাকশন ওয়েব অ্যাপ এবং যেকোন পাবলিক API যা গ্রাহক ব্যবহার করে। অভ্যন্তরীণ টুল, পুরনো প্রোটোটাইপ, এবং তৃতীয় পক্ষের সার্ভিসগুলো বেস প্রথমে বাদ দিন যতক্ষণ না বেসিকগুলো কাজ করে।
কি ইন-স্কোপ এবং কি নেক্সট আউট-অফ-স্কোপ তা নির্দিষ্টভাবে বলুন। কয়েকটি স্পষ্ট উদাহরণ ব্যয়-সংলাপ কমায়:
পরবর্তী, কি টেস্টিং অনুমোদিত তা বলুন যাতে কেউ আকস্মিকভাবে ব্যবহারকারীদের ক্ষতি না করে। সীমা সহজ রাখুন: মাস স্ক্যান নয়, রেট লিমিট সম্মান করুন, ডিনায়াল-অফ-সার্ভিস টেস্ট করা যাবে না, এবং অন্য কারো ডেটা অ্যাক্সেস করবেন না। যদি আপনি সীমিত টেস্ট অ্যাকাউন্ট অনুমোদন করতে চান, বলুন।
অবশেষে, নন-প্রোডাকশন সিস্টেম কিভাবে হ্যান্ডেল করবেন তা সিদ্ধান্ত নিন। স্টেজিং পুনরুত্পাদনে সাহায্য করতে পারে, কিন্তু প্রায়ই এটি গোলমালের এবং কম নজরদারিকৃত। অনেক টিম প্রথমে স্টেজিং বাদ দেয় এবং কেবল প্রোডাকশন findings গ্রহণ করে, পরে লগিং স্থিতিশীল হলে এবং টেস্ট করার নিরাপদ উপায় থাকলে স্টেজিং যোগ করে।
উদাহরণ: একটি ছোট SaaS টিম যা Koder.ai অ্যাপ চালায়, তারা শুরু করতে পারে “প্রোডাকশন অ্যাপ + আমাদের মূল ডোমেইনে পাবলিক API” দিয়ে এবং স্পষ্টভাবে কাস্টমার self-hosted ডিপ্লয়মেন্টগুলোকে আউট-অফ-স্কোপ রাখবে যতক্ষণ না টিমের কাছে পুনরুত্পাদন ও ফিক্স চালানোর একটি পরিষ্কার উপায় থাকে।
ভাল নিয়ম দুটি কাজ একসাথে করে: তারা বাস্তব ব্যবহারকারীদের নিরাপদ রাখে, এবং গবেষকদের আত্মবিশ্বাস দেয় যে সদিচ্ছায় রিপোর্ট করার কারণে তাদের বিরুদ্ধে ব্যবস্থা নেওয়া হবে না। ভাষা সোজা ও নির্দিষ্ট রাখুন। যদি একজন টেস্টার কি অনুমোদিত তা না বুঝতে পারে, তারা বা তো থেমে যাবে বা ঝুঁকি নেবে।
নিরাপদ টেস্টিং সীমানা দিয়ে শুরু করুন। লক্ষ্য গবেষণা বন্ধ করা নয়; লক্ষ্য ক্ষতি প্রতিরোধ করা যতক্ষণ পর্যন্ত ইস্যুটি অজানা। সাধারণ নিয়মগুলোর মধ্যে আছে: কোন সামাজিক ইঞ্জিনিয়ারিং নেই (ফিশিং, কর্মীদের কল করা, নকল সাপোর্ট টিকিট), কোনও ডিনায়াল-অফ-সার্ভিস বা স্ট্রেস টেস্ট নেই, কোনো শারীরিক আক্রমণ বা হুমকি নেই, স্কোপের বাইরে স্ক্যান করা যাবে না, এবং যদি বাস্তব ব্যবহারকারীর ডেটা স্পর্শ করা হয় তবে সাথে সাথে থামুন।
তারপর রিপোর্ট কিভাবে করতে হবে এবং "উপকারী" কি দেখায় তা ব্যাখ্যা করুন। একটি সরল টেমপ্লেট ট্রায়াজ দ্রুত করে: যেখানে এটা ঘটে (URL/অ্যাপ স্ক্রিন, এনভায়রনমেন্ট, অ্যাকাউন্ট টাইপ), ধাপে ধাপে পুনরুত্পাদন, প্রভাব, প্রমাণ (স্ক্রিনশট, ছোট ভিডিও, request/response), এবং যোগাযোগের বিশদ।
প্রাইভেসি সম্পর্কে স্পষ্ট হন। গবেষকদের কমে ডেটা অ্যাক্সেস করার অনুরোধ করুন, ডেটাসেট ডাউনলোড এড়াতে বলুন, এবং স্ক্রিনশটে সংবেদনশীল তথ্য (ইমেইল, টোকেন, ব্যক্তিগত বিবরণ) redact করতে বলুন। যদি তাদের প্রমাণ দেখানোর জন্য দরকার হয়, সবচেয়ে ছোট নমুনা চাইুন।
অবশেষে, ডুপ্লিকেট ও আংশিক রিপোর্টের প্রত্যাশা নির্ধারণ করুন। আপনি বলতে পারেন যে প্রভাব প্রমাণ করা প্রথম স্পষ্ট রিপোর্টকে ক্রেডিট (বা পুরস্কার) দেওয়া হবে, এবং অসম্পূর্ণ রিপোর্ট পুনরুত্পাদন না হলে বন্ধ করা যেতে পারে। একটি সংক্ষিপ্ত লাইন যেমন “আপনি নিশ্চিত না হলে, যা আছে সেটা সাবমিট করুন এবং আমরা আপনাকে গাইড করব” দরজা খোলা রাখে কিন্তু ফলাফল প্রতিশ্রুতি দেয় না।
VDP সবচেয়ে দ্রুত ফেল হয় যখন রিপোর্টগুলো কোনো মালিক ছাড়া একটি শেয়ার্ড ইনবক্সে পরে থাকে। ট্রায়াজ হল “আমরা একটি রিপোর্ট পেয়েছি”কে একটি স্পষ্ট সিদ্ধান্তে পরিণত করার অভ্যাস: এটা কি বাস্তব, কতটা খারাপ, কে এটি ঠিক করবে, এবং আমরা রিপোর্টারকে কি বলব।
আপনার পুরো টিম যে ভাবে ধারাবাহিকভাবে প্রয়োগ করতে পারে এমন একটি ছোট সেভেরিটি রুব্রিক দিয়ে শুরু করুন:
প্রথম রেসপন্স একটি ব্যক্তিকে (সিকিউরিটি লিড, অন-কলে থাকা ইঞ্জিনিয়ার, বা ফাউন্ডার) অ্যাসাইন করুন, পাশাপাশি সপ্তাহান্ত ও ছুটির জন্য একটি ব্যাকআপ। সেই একক সিদ্ধান্তটি "আর কেউ করবে" ধরবার সমস্যাকে প্রতিরোধ করে।
ভুয়ো পজিটিভ ও "সিকিউরিটি থিয়েটার" কমাতে এক জিনিস চাহুন: একটি পুনরুত্পাদনযোগ্য প্রমাণ। সেটা ধাপ, একটি সংক্ষিপ্ত ভিডিও, বা একটি ন্যূনতম request/response হতে পারে। যদি আপনি এটি পুনরুত্পাদন করতে না পারেন, বলুন, আপনি কি চেষ্টা করেছেন তা ব্যাখ্যা করুন, এবং একটি লক্ষ্যভিত্তিক প্রশ্ন জিজ্ঞাসা করুন। স্ক্যানার আউটপুটকে সিদ্ধান্ত নয়, একটি সূত্র হিসেবে বিবেচনা করুন।
যদি রিপোর্টটি তৃতীয় পক্ষের সার্ভিসকে স্পর্শ করে (ক্লাউড স্টোরেজ, আইডেন্টিটি প্রদানকারী, অ্যানালিটিক্স), আপনি কি নিয়ন্ত্রণ করেন ও কি নয় তা আলাদা করুন। প্রথমে আপনার কনফিগারেশন নিশ্চিত করুন, তারপর প্রয়োজনে ভেন্ডারকে যোগাযোগ করুন। রিপোর্টারকে আপনি কি শেয়ার করতে পারেন তা আপডেট দিন।
প্রতিটি রিপোর্ট একটি সাদামাটা অভ্যন্তরীণ টেমপ্লেটে ডকুমেন্ট করুন: সারাংশ, প্রভাবিত সারফেস, সেভেরিটি এবং কেন, পুনরুত্পাদন নোট, মালিক, এবং বর্তমান স্ট্যাটাস। ধারাবাহিক নোট পরবর্তী রিপোর্টকে প্রথমটির তুলনায় দ্রুত করে তোলে।
টাইমলাইনগুলিই একটি প্রোগ্রামকে বিশ্বাসযোগ্য করে তোলে। আপনার বর্তমান টিম দিয়ে আপনি কি বাস্তবে পৌঁছাতে পারবেন তা বেছে নিন, প্রকাশ করুন, এবং অনুসরণ করুন।
একটি প্রতিশ্রুতি সেট যা অনেক ছোট টিম মেনে চলতে পারে:
আপনি যদি এই সংখ্যাগুলো মিট করতে না পারেন, এখনই এগুলো বড় করে দিন বরং পরে মিস করা থেকে ভাল। 30 দিন বললেই 20 দিনে দিতে পারা ভালো, 7 দিন প্রতিশ্রুতি দিয়ে চুপ করে পড়ে থাকা খারাপ।
গবেষকদের কাছে রিপোর্টগুলো জরুরি মনে হয়। এমনকি আপনি যদি ফিক্স না রাখতেও পারেন, নিয়মিত আপডেট হতাশা কমায় এবং পাবলিক স্কেলেশন রোধ করে। একটি পূর্বানুমেয় কেডেন্স ব্যবহার করুন এবং অন্তর্ভুক্ত করুন: বর্তমান স্ট্যাটাস (ট্রায়াজিং, ফিক্সিং, টেস্টিং), পরবর্তী ধাপ, এবং পরবর্তী আপডেটের তারিখ।
ইস্যুটি নিশ্চিত হওয়ার পরে একটি ডিসক্লোজার তারিখে সম্মতি করুন। যদি আরো সময় দরকার, আগে থেকেই জিজ্ঞাসা করুন এবং কেন জানিয়ে দিন (জটিল ফিক্স, রোলআউট সীমাবদ্ধতা)। যদি ইস্যুটি সক্রিয়ভাবে exploit হয়ে থাকে, প্রায়োগিকভাবে ব্যবহারকারী সুরক্ষা অগ্রাধিকার দিন এবং প্রস্তুত থাকুন দ্রুত যোগাযোগ করার জন্য, এমনকি পুরো ফিক্স এখনও রোলিং না করলেও।
একবার রিপোর্ট নিশ্চিত হয়ে এবং র্যাংকিং হয়ে গেলে, লক্ষ্য সরল: ব্যবহারকারীদের দ্রুত নিরাপদ রাখা। একটি নিরাপদ প্যাচ বা মিটিগেশন পাঠান এমনকি আপনি যদি পুরো root-cause writeup শেষ না করে থাকেন। একটি ছোট ফিক্স আজ বড় রিফ্যাক্টরের চেয়ে ভালো।
স্বল্প-মেয়াদী মিটিগেশন জটিল বা ধীর নারীপূর্ণ ফুল ফিক্সের সময় কিনে দেয়। সাধারণ অপশনগুলো: কোনও ফিচার disable করে ফ্ল্যাগের পিছনে রাখা, রেট লিমিট টাইট করা, খারাপ রিকোয়েস্ট প্যাটার্ন ব্লক করা, প্রকাশিত সিক্রেট রোটেট করা, অথবা লগিং ও অ্যালার্ট যোগ করা। মিটিগেশনগুলো শেষ লাইন নয়, কিন্তু বাস্তবে কাজ চলাকালীন ক্ষতি কমায়।
রিপোর্ট বন্ধ করার আগে একটি ছোট-রিলিজের মতো ভ্যালিডেট করুন: ইস্যুটি পুনরুত্পাদন করুন, নিশ্চিত করুন ফিক্সের পরে এটি আর কাজ করছে না, সম্ভব হলে একটি রিগ্রেশন টেস্ট যোগ করুন, আশেপাশের পারমিশনে পার্শ্বপ্রতিক্রিয়া আছে কিনা পরীক্ষা করুন, এবং সম্ভব হলে দ্বিতীয় একজনের চোখ নিন।
কমিউনিকেশন প্যাচের মতোই গুরুত্বপূর্ণ। রিপোর্টারকে বলুন আপনি কি নিশ্চিত করেছেন, আপনি কি পরিবর্তন করেছেন (সরল ভাষায়), এবং কখন এটি ডিপ্লয় হবে। যদি আপনাকে আরও সময় লাগে, কেন তা বলুন এবং পরবর্তী আপডেটের তারিখ দিন। ব্যবহারকারীদের জন্য সংক্ষিপ্ত ও সৎ থাকুন: কি প্রভাবিত হয়েছে, আপনি কি করেছেন, এবং তাদের কি কোন পদক্ষেপ নিতে হবে (পাসওয়ার্ড রিসেট, কী রোটেশন, অ্যাপ আপডেট)।
যখন ইস্যুটি বহু ব্যবহারকারীকে প্রভাবিত করে, সহজে পুনরাবিষ্কৃত হতে পারে, বা ব্যবহারকারীর পদক্ষেপ প্রয়োজন হয় তখন একটি সংক্ষিপ্ত অ্যাডভাইজরি প্রকাশ করুন। এতে সংক্ষিপ্ত সারাংশ, সেভেরিটি, প্রভাবিত কম্পোনেন্ট, ফিক্সের তারিখ, এবং রিপোর্টারকে ক্রেডিট দেওয়া থাকবে যদি তারা চান। Koder.ai-এর মত প্ল্যাটফর্মগুলোতে, যেখানে অ্যাপ ডিপ্লয় ও হোস্ট করা হয়, advisories টিমগুলিকে বোঝাতে সাহায্য করে যে তাদের রিডপ্লয় বা কাস্টম ডোমেইনে কিছু করতে হবে কিনা।
অধিকাংশ ছোট টিম ভালো উদ্দেশ্য থাকার কারণে ব্যর্থ হয় না। তারা ব্যর্থ হয় কারণ প্রোগ্রাম তাদের সক্ষমতার চেয়েও বড়, বা পর্যাপ্তভাবে অস্পষ্ট যে প্রতিটি রিপোর্ট একটি বিতর্কে পরিণত হয়।
একটি ব্যবহারিক নিয়ম: আপনার vulnerability disclosure program এমন সপ্তাহের জন্য ডিজাইন করুন যা আপনি বাস্তবে পাচ্ছেন, না যে তিনটি চান।
সাধারণ ভুলগুলো ও সবচেয়ে সহজ সমাধান:
উদাহরণ: একজন গবেষক একটি প্রকাশিত স্টেজিং এন্ডপয়েন্ট রিপোর্ট করে। যদি আপনার নিয়মে স্টেজিং উল্লেখ না থাকে, তাহলে আপনার টিম কয়েক দিন ধরে তর্ক করতে পারে। যদি স্টেজিং বা না-থাকা স্পষ্টভাবে নির্ধারিত থাকে, আপনি দ্রুত প্রতিক্রিয়া দিতে পারবেন, সঠিকভাবে রুট করা যাবে, এবং কথোপকথন শান্ত রাখা যাবে।
একটি MVP VDP নিখুঁত কাগজপত্র নিয়ে নয় বরং পূর্বানুমেয় আচরণের উপর ভিত্তি করে। মানুষ জানতে চায় তারা কি পরীক্ষা করতে পারে, কিভাবে রিপোর্ট করবে, এবং কখন তারা প্রতিক্রিয়া পাবে।
চেকলিস্ট সংক্ষিপ্ত করুন:
আপনি যদি দ্রুত শিপ করেন (উদাহরণস্বরূপ, Koder.ai-এর মতো একটি প্ল্যাটফর্ম যা ওয়েব, ব্যাকএন্ড এবং মোবাইল অ্যাপ ডিপ্লয় করে), এটি রিপোর্টগুলো টিম এবং রিলিজ সার্কেলগুলোর মধ্যে হারিয়ে যাওয়া কমায়।
একটি তিন-জনের SaaS টিম একটি ইমেইল পায়: “Possible account takeover via password reset.” গবেষক বলেন তারা কোনো ভিকটিমের ইমেইল জানলে পাসওয়ার্ড রিসেট করতে পারে, কারণ রিসেট লিংকটি ব্যবহারকারীর নতুন অনুরোধের পরে ও বৈধ থাকে।
টিমটি দ্রুত রিপোর্ট গ্রহণের উত্তর দেয় এবং দুইটি জিনিস চায়: পুনরুত্পাদনের সঠিক ধাপগুলি এবং গবেষকটি মাত্র তাদের নিজের অ্যাকাউন্টেই টেস্ট করেছে কিনা। তারা আরো স্মরণ করিয়ে দেয় যে বাস্তব কাস্টমার ডেটা অ্যাক্সেস করা যাবে না।
বাস্তব ব্যবহারকারীদের স্পর্শ না করে প্রভাব নিশ্চিত করার জন্য, টিমটি একটি স্টেজিং এনভায়রনমেন্টে ডামি একাউন্ট দিয়ে ফ্লোটি পুনরুত্পাদন করে। তারা একই অ্যাকাউন্টের জন্য দুইটি রিসেট ইমেইল জেনারেট করে, তারপর দেখে পুরনো টোকেনটি এখনও কাজ করে কি না। এটি করে এবং তারা কোনো অতিরিক্ত যাচাই ছাড়াই একটি নতুন পাসওয়ার্ড সেট করতে পারে। তারা সার্ভার লগ ও টাইমস্ট্যাম্প ক্যাপচার করে কিন্তু কোনো ইমেইল কন্টেন্ট কপি করে না যা অপভাবে ব্যবহার করা যেতে পারে।
তারা এটি High সেভেরিটির লেবেল দেয়: এটি বাস্তবসম্মত পথে অ্যাকাউন্ট টেকওভারে নিয়ে যায়। তাদের পলিসি অনুযায়ী তারা একটি মিটিগেশনের জন্য 72 ঘন্টার লক্ষ্য এবং একটি পূর্ণ ফিক্সের জন্য 7 দিনের লক্ষ্য সেট করে।
তারা রিপোর্টারকে প্রতিটি ধাপে আপডেট রাখে:
বন্ধ করার পরে, তারা পুনরাবৃত্তি প্রতিরোধ করতে একটি automated test যোগ করে single-use reset tokens-এর জন্য, অস্বাভাবিক রিসেট ভলিউম মনিটর করে, এবং তাদের অভ্যন্তরীণ চেকলিস্ট আপডেট করে: “Any login or reset token must be single-use, short-lived, and invalidated on new issuance.”
সাপ্তাহিকভাবে চালানো যায় এমন একটি VDP দিয়ে শুরু করুন। একটি সরল ইনবক্স, স্পষ্ট স্কোপ, এবং ধারাবাহিক ট্রায়াজ রুটিন একটি নীরস নীতির চেয়ে বেশি কার্যকর। ওয়ার্কফ্লো স্থিতিশীল হলে এবং আপনার রেসপন্স কেডেন্স নির্ভরযোগ্য হলে আপনি যেখানে গভীরতর টেস্টিং চান সেই এলাকাগুলোতে বাগ বাউন্টি প্রোগ্রাম যোগ করুন।
কয়েকটি মেট্রিক ট্র্যাক করুন যাতে আপনি অগ্রগতি দেখতে পারেন, কিন্তু এটিকে পূর্ণ-সময়ের কাজ বানাবেন না: স্বীকৃতিতে সময়, ট্রায়াজ সময়, ফিক্সে সময় (অথবা নিরাপদ মিটিগেশনে সময়), পুনরায় খোলার হার, এবং কতগুলি রিপোর্ট বাস্তবে actionable।
প্রতিটি משמעותপূর্ণ রিপোর্টের পরে একটি হালকা রেট্রো করুন: কি ধীর করেছে, রিপোর্টার কী বুঝতে ভুলো করেছে, কোন সিদ্ধান্ত নিতে বেশি সময় লেগেছে, এবং পরের বার আপনি কি পরিবর্তন করবেন।
আপনার টিম যদি দ্রুত শিপ করে, "সেফ রিলিজ" পরিকল্পনার অংশ করুন। ছোট, reversible পরিবর্তনের লক্ষ্য রাখুন। যদি আপনার কাছে স্ন্যাপশট ও রোলব্যাক সুবিধা থাকে, সেগুলো ব্যবহার করুন যাতে একটি সিকিউরিটি ফিক্স বড় আউটেজে পরিণত না হয়।
একটি ব্যবহারিক মাসিক রিদম:
আপনি যদি Koder.ai (koder.ai) এর উপর নির্মাণ করেন, ডিপ্লয়মেন্ট ও হোস্টিং ওয়ার্কফ্লো অংশ হয়ে থাকে, এবং সোর্স কোড এক্সপোর্ট তখন ব্যবহারের সময়ে উপলব্ধ থাকে যখন দরকার হয়। তা নিরাপত্তা ফিক্স দ্রুত push করা এবং সাইড-ইফেক্ট হলে নিরাপদে recover করা সহজ করে তোলে।
একটি VDP মানুষদের আপনাকে নিরাপত্তা সমস্যা জানানোর জন্য একটি স্পষ্ট, আইনগত এবং পূর্বানুমেয় উপায় দেয়। এটি কমায় যে রিপোর্টগুলো পাবলিক পোস্ট, এলোমেলো ডিএম বা বারবার probing হিসেবে দেখা যাবে।
মূল সুবিধা হচ্ছে দ্রুততা ও নিয়ন্ত্রণ: আপনি সমস্যাগুলো আগে জানতে পারেন, শান্ত মনে ফিক্স করতে পারেন, এবং ধারাবাহিকভাবে প্রতিক্রিয়া দিয়ে বিশ্বাস তৈরি করতে পারেন।
যখন আপনি ধারাবাহিকভাবে তিনটি কাজ নির্ভরযোগ্যভাবে করতে পারেন তখন শুরু করুন:
এগুলো করতে না পারলে, স্কোপ টাইট রাখুন এবং সময়সীমা বাড়ান, VDP পুরোপুরি বাদ দেবেন না।
একটি সরল VDP পলিসিতে অন্তর্ভুক্ত করা উচিৎ:
ডিফল্টভাবে: প্রাথমিকভাবে সেই অ্যাসেটগুলো থেকে শুরু করুন যেগুলো আপনি end-to-end নিয়ন্ত্রণ করেন, সাধারণত আপনার প্রোডাকশন ওয়েব অ্যাপ এবং পাবলিক API।
যেসব জিনিস দ্রুত যাচাই বা মেরামত করা সম্ভব নয় সেগুলো বাদ দিন (পুরোনো প্রোটোটাইপ, অভ্যন্তরীণ টুল, তৃতীয় পক্ষের সার্ভিস যেগুলো আপনি নিয়ন্ত্রণ করেন না)। আপনার ওয়ার্কফ্লো স্থিতিশীল হলে পরে স্কোপ বাড়াতে পারেন।
সাধারণ বেসলাইন রুলস:
স্পষ্ট সীমা ব্যবহারকারীদের ও গবেষকদের দুজনকেই রক্ষা করে।
এমন রিপোর্ট চাইুন যেটা সহজে পুনরুত্পাদনযোগ্য:
প্রস্তাবিত ফিক্স সহায়ক কিন্তু ঐচ্ছিক; পুনরুত্পাদনযোগ্যতা সবচেয়ে জরুরি।
একজন মালিক (প্লাস ব্যাকআপ) বেছে নিন এবং একটি সহজ ফ্লো অনুসরণ করুন:
যখন রিপোর্ট শেয়ার্ড ইনবক্সে পড়ে থাকে এবং কোনো স্পষ্ট সিদ্ধান্ত নেই, VDP ভেঙে যায়।
একটি ছোট রুব্রিক ব্যবহার করুন যা প্রভাবের উপর নির্ভর করে:
ট্রায়াজে সংশয় হলে প্রথমে উচ্চ ধরে নিন, পরে বাস্তব-জগতের প্রভাব নিশ্চিত করে সামঞ্জস্য করুন।
ছোট টিমের জন্য একটি ব্যবহারিক ডিফল্ট:
যদি আপনি এগুলো মিট করতে না পারেন, এখনই সময়সীমা বাড়ান এবং পরে নিজের থেকে ভালো কাজ করুন।
যখন আপনি উচ্চ ভলিউম সামলাতে পারবেন এবং নিম্নোক্তগুলো নিশ্চিত করতে পারবেন তখন বাগ বাউন্টি যুক্ত করুন:
VDP হলো বেসলাইন; বাউন্টি বেশি মনোযোগ ও চাপ আনে, তাই যোগ করুন শুধুমাত্র যখন আপনি মোকাবিলা করতে পারবেন।
এটি সংক্ষিপ্ত রাখুন এবং শুধুই সেই প্রতিশ্রুতি দিন যা আপনি ধারাবাহিকভাবে রাখতে পারবেন।