חברה גדולה קיבלה מייל: "מצאתי פגיעות שמאפשרת גישה למאגר הלקוחות שלכם." המחלקה המשפטית שלחה מכתב איום. החוקר פרסם הכל ב-Twitter. ניתן היה לעשות את זה אחרת. Vulnerability Disclosure Policy (VDP) היא ההבדל בין זמן גילוי לפרסום, לבין סיוט יחסי ציבור.
מה זה VDP ולמה זה חשוב?
VDP הוא מסמך פומבי שמסביר לחוקרי אבטחה: איך לדווח, מה מותר לבדוק, מה מחוץ ל-Scope, ומה הם יכולים לצפות לקבל בתמורה. ה-CISA (ארה"ב) מחייב VDP לכל גופי הממשל. GDPR ממליץ עליו. חברות כמו Google, Microsoft, ו-Meta מנהלות Bug Bounty Programs בהיקף של מיליוני דולרים.
מבנה VDP בסיסי
- Introduction – ברכת הבאים לחוקרים ועידוד דיווח אחראי
- Scope – אילו מערכות/domains מותרים לבדיקה
- Out of Scope – מה אסור (DoS, Social Engineering, Physical)
- Safe Harbor – אנחנו לא ננקוט בפעולה משפטית כנגד חוקר שפועל לפי המדיניות
- Reporting Process – security@company.com + PGP Key
- Response SLA – תאשרו קבלה תוך 24 שעות, עדכון תוך 7 ימים
VDP vs Bug Bounty
VDP = מדיניות בלבד, ללא תגמול כספי. Bug Bounty = VDP + תגמול כספי לפי חומרה. Bug Bounty מביא יותר דיווחים (כולל רעש), VDP מביא חוקרים מסורים. התחילו ב-VDP, שקלו Bug Bounty כשיש Maturity.
- 1פרסמו VDP ב-security.txt (RFC 9116) – קובץ ב-/.well-known/security.txt
- 2צרו תיבת דואר ייעודית: security@yourdomain.com עם PGP Key
- 3הגדירו Internal SLA לטיפול בדיווחים: מי מקבל? מי מתקן? מתי?
- 4שקלו HackerOne/Bugcrowd לניהול מרכזי של Disclosure Program
- 5פרסמו Hall of Fame – הכרת תודה לחוקרים שדיווחו בצורה אחראית
ארגון עם VDP מפורסם מקבל ממוצע 3-8 דיווחי פגיעות בשנה מחוקרים חיצוניים – כל אחד מהם פגיעות שלא תגלו בעצמכם. זה Crowdsourced Security Testing ללא עלות.