我在一家资金不多的 B2B SaaS 初创公司工作（我们有 6 个人，2 名开发人员，有大约 6 个月的跑道，每月收入 25,000 美元，< 50 个客户）。

我为小公司/初创公司看到的常见建议是为安全性“做足”（风险/回报的平衡）。然而，对我们来说，当我们编写代码时，它是我们思考的最前沿（例如，我们将安全审查作为代码合并审查过程中的一个明确步骤，我们只使用准备好的 SQL 语句等）。

最近，一位安全研究人员就一些漏洞与我们联系。我告诉他们我们没有正式的赏金计划，但我们愿意补偿。我说Slack 的计划可以作为我们如何支付的指南（这实际上取决于问题和对我们业务的影响/风险）。

第一个报告的问题是 CSRF 攻击，它可能允许受害者不小心将攻击者添加到他们的帐户并获得对受害者帐户的完全管理员访问权限。这是 POC，因为它需要一些工作来利用。我们认为，如果被利用，它可能会暴露我们用户数据的所有用户。即使是 POC，它也可能会破坏我们的业务。我们奖励了他们 500 美元并邮寄了一些赃物。当我们去付钱给他们时，他们要了 550 美元，因为有 PayPal 费用。我告诉他们，如果我们在 HackerOne 这样的网站上列出，无论金额多少，PayPal 仍然会收取费用。

他们报告了一个 IDOR 攻击问题，该攻击可能允许任何经过身份验证的攻击者“禁用”我们应用程序中的任何用户。在我们的应用程序中禁用用户只是设置一个他们无法登录的标志。这种攻击不会泄露任何信息，并且很容易逆转。目前，我们认为实际的业务影响/风险非常低（因为它可以逆转并且不会暴露客户数据）。我们立即修复了这个漏洞。安全研究人员在最初的报告中对预期的回报非常咄咄逼人。他们对 Uber 的 IDOR 攻击报价 15000 美元，从 Slack 报价 1500 美元。我回应说我们将在内部讨论奖励，因为我们觉得影响很小。他们回复说这个问题有多重要，以及它如何对我们的业务造成严重破坏。英语不是'

我们希望鼓励漏洞报告，我们希望以市场价格奖励/补偿报告者。但是，我们没有很多钱，因为我们是一家没有任何投资的初创公司。我在补偿漏洞与失业之间进行了一场巨大的内部斗争，因为我们的钱将用于支付漏洞。我们不想支付任何费用，但我们想鼓励白帽报告。

现在，我的心态是“为业务的风险/影响支付我们认为值得的钱”。对于第二个漏洞，我们讨论过价值 150 美元。当我们回复我们的金额时，他们试图讨价还价到 500 美元，并声称这是不公平的 300 美元。

对于创建/维护错误赏金计划，您会给小公司什么建议？