Non puoi creare buoni rapporti con i ricercatori di sicurezza.
Il primo problema è nella tua stessa azienda. Quando segnalano un bug, i dipendenti della tua compagnia entrano in una fase di denialismo, cercando di dimostrare che non è un bug. Non importa come ti senti, anche se sei il CEO. Una delle ragioni è che, in effetti, la maggior parte dei vulns riportati dai ricercatori di sicurezza sono falsi. Devi selezionare i vulns validi da un numero elevato di vulns non validi.
Il secondo problema è che la maggior parte dei ricercatori che segnalano vulns non sono interessati a una "relazione solida". Torceranno il vuln e la tua risposta ad esso in modo tale da dimostrare che sei una cattiva, stupida compagnia.
Le due cose più importanti sono le prime, che usi un indirizzo email standard ("[email protected]") a cui possono inviare informazioni sulla vulnerabilità, che ha una persona responsabile dall'altra parte che risponderà all'interno di un'azienda giorno. La seconda cosa è che il tuo supporto tecnico per i treni in modo che quando ricevono una segnalazione di un messaggio di sicurezza, non esigono che la persona sia un cliente. (Questo è il problema più comune: un ricercatore chiama il supporto tecnico e segnala il virus, quindi il supporto tecnico li ignora perché non sono clienti).
Oltre a ciò, aspettati che i rapporti su Internet terminino male.