要回答您的每个问题：

1. 基本上我们应该怎么做甚至应该怎么做？

我建议继续。您将能够获得有价值的信息，这些信息可以立即用于提高公司的安全性。您还没有告诉我们研究人员发给您的内容，但他们会提供对漏洞的描述或重现漏洞的方法。要继续，您将需要他们：

• 发现的漏洞的描述/攻击场景。为什么这是一个问题，该错误具体允许攻击者做什么他们不应该做的事情，最坏的情况/发现的严重性是什么。

• 复制步骤。您可以为任何工程师提供哪些步骤并允许他们每次都重现错误。

• 黑客正在寻找什么作为回报。如前所述，可能允许在修复或金钱后发布发现。

• 您可能还希望或收到研究人员的补救建议、风险评分等。

非常重要：向研究人员明确表示您希望他们对问题保密，直到问题得到解决。他们可能会用一个补救窗口来反驳，例如，如果问题在 60 天内没有解决，他们可以发表文章。这是一种常见的做法，并且对于大多数具有强大安全性的公司来说应该是可以接受的。

2. 白（帽子）黑客的共同期望是什么？

取决于研究人员，但他们可能会希望在发现问题得到修复后获得许可并获得金钱奖励。奖励价格基于赏金计划的整体严重程度和规模。Hackerone 是一个大型的漏洞赏金平台，它有一个矩阵，可以根据公司/赏金计划的规模提出支出建议：https ://www.hackerone.com/resources/bug-bounty-basics 。确定支付价格是一门微妙的艺术——我建议在hackerone 或其他漏洞赏金平台上搜索类似的漏洞，并根据其他公司为同一问题支付的费用确定您的支付金额。

再一次 - 研究人员的一个共同期望是，他们可以在一定时间内发布该发现，无论它是否已经修复。60 天很常见，但如果您不确定您的公司能否在该窗口内交付，我不会同意这个时间。修补问题后，黑客可能想要验证修复是否正确实施。

3.如何验证？

使用黑客给你的复制步骤。它们应该足够清楚，任何工程师都可以准确地遵循这些步骤并重现错误。如果这里有任何问题，您可以返回研究人员并获得澄清。研究人员有责任为公司提供概述和识别错误的重现步骤。

问题解决后，您可以邀请研究人员验证修复并确保已完全修补。

Hackenproof 似乎是一个任何人都可以注册的网站，所以说你是 Hackproof 的成员就等于说你是 Facebook 的成员。这不是一个专属的黑客组织。

没有正式的标准方法来处理这种情况，因为您的公司、您的业务、错误和白帽都会有很大的不同。一种尺寸并不适合所有人。

一般来说，建议谨慎但好奇。小心，但不要偏执和报复。不要向白帽提供任何内部信息，尽量提前获取尽可能多的信息，同时很少或不透露任何信息。这些人中的许多人喜欢通过交谈来展示自己的专业知识。让他们这样做。如果信息仅以一种方式流动，则几乎不会造成伤害。向他/她索取源代码或问题的详细描述。然后分析代码/描述并编写自己的漏洞利用（不要编译或运行白帽代码），针对测试实例运行它，最好尽可能与任何其他环境隔离。

就各方责任而言，如今大多数自称是白帽黑客的人都会进行负责任的披露，并且在漏洞修复之前不会将其发布给全世界。您的责任是在合理的时间内（几周，而不是几年）修复错误（如果它足够严重）。如果您的公司提供赏金，如果错误符合标准，则应支付奖金。如果没有，白帽应该接受他们可能不会获得报酬，但你必须接受如果没有在合理的时间内修复错误，他们可能会将错误发布给公众。

我不知道这里有什么硬性规定。让我们将其视为博弈论：

研究人员想要什么

通常：

• 发现的公共信用，例如 CVE 或研究论文。
• 有时以漏洞赏金的形式提供金钱。

你想要什么

通常：

• 不被公开羞辱。
• 提高您产品的安全性。

如何进行

从博弈论的角度来看，双赢的局面是让他们向你透露细节，让你解决它，让他们获得公共信誉。你应该和研究人员打个电话，要求一个演示——你会收获很多，也不会失去任何东西。请注意，在他们愿意向您展示详细信息之前，研究人员可能需要一份 NDA 或其他法律合同，以确保他们最终获得信用。

我可能值得注意的是，他们可能对此也很陌生，有很多“专业人士”，如果这就是你谋生的方式，你可能有一个过程，但这通常需要在你开始工作之前与公司达成一些协议. 但即便如此，它也因公司和工作类型而异。

不过，这对我来说听起来像是一个狂热者。我真的怀疑与这个人交谈会失去什么。他可能有不切实际的期望，但你失去了什么？

旁注，对不起，如果这是光顾，但我觉得必须说：至少可以想象这是一种让你“拥有”的方式，“我们可以快速谈谈你的一些实施细节吗？系统”是你应该说'不'的东西，即使他们来提供胡萝卜。