您可以采取以下几个步骤来鼓励安全研究人员向您披露漏洞：

• 免除责任。承诺不起诉以负责任的方式向您披露漏洞的研究人员。目前，许多研究人员报告担心向公司报告漏洞可能会导致他们被起诉，因此有时他们只是不报告他们发现的漏洞。通过突出和公开承诺不这样做，您可以帮助安全研究人员更轻松地与您联系。看这里，这里，这里，这里，这里，这里和这里。

• 感谢研究人员。在漏洞公告和其他论坛中公开和突出地承认向您报告漏洞的研究人员。许多报告漏洞的研究人员这样做是出于对社区的责任感和服务意识，唯一的交换可能是一些公众承认。公开承认记者的政策不花钱，并鼓励其他人在未来进行报道。

• 建立安全报告地址。清楚地说明如何向您的团队报告安全漏洞。（你会惊讶于有多少地方没有采取这个简单的步骤。）

• 对错误报告迅速采取行动。当报告安全问题时，请在合理的时间范围内采取行动。如果研究人员向您报告了一个错误而您没有采取任何行动，或者您拖拖拉拉，那么研究人员可能会厌倦您，说“见鬼去吧”，并停止向您报告漏洞（例如，只是公开发布它们）。举一个最近的例子，看看Yelp 如何回应有关其移动网站安全问题的报告；这是一个模范的，杰出的回应。

• 为错误报告付费。建立一个赏金计划，向首先向您报告严重安全问题的人提供报酬（如果之前或同时没有公开披露）。

您无法与安全研究人员建立良好的关系。

第一个问题是在您自己的公司内部。当他们报告错误时，您公司的员工会进入否认阶段，试图证明这不是错误。即使您是首席执行官，您的感受也无所谓。造成这种情况的一个原因是，安全研究人员报告的大多数漏洞实际上都是虚假的。您必须从大量无效的 vulns 中筛选出有效的 vulns。

第二个问题是大多数报告 vulns 的研究人员对“稳固的关系”不感兴趣。他们会扭曲漏洞和你对它的反应，以证明你是一个糟糕、愚蠢的公司。

最重要的两件事是，首先，您使用标准的电子邮件地址（“security@example.com”），他们可以向其提交漏洞信息，另一端有负责人，将在一个工作日内做出回应。第二件事是您的培训技术支持，以便当他们收到安全漏洞报告时，他们不会要求此人成为客户。（这是最常见的问题：研究人员致电技术支持并报告漏洞，然后技术支持忽略他们，因为他们不是客户）。

除此之外，预计 vuln 报告会以糟糕的结局告终。