No puedes formar una buena relación con los investigadores de seguridad.
El primer problema está dentro de su propia empresa. Cuando informan sobre un error, los empleados de su empresa entran en una fase de negación, tratando de demostrar que no es un error. No importa cómo te sientas, incluso si eres el CEO. Una razón para esto es que, de hecho, la mayoría de las vulnerabilidades reportadas por los investigadores de seguridad son falsas. Debe separar las vulnerabilidades válidas de una gran cantidad de vulnerabilidades no válidas.
El segundo problema es que la mayoría de los investigadores que informan sobre vulnerabilidades no están interesados en una "relación sólida". Ellos torcerán la vulnerabilidad y su respuesta a ella de tal manera que demuestren que usted es una compañía mala y estúpida.
Las dos cosas más importantes son las primeras, que use una dirección de correo electrónico estándar ("[email protected]") a la que puedan enviar información de vulnerabilidad, que tenga una persona responsable en el otro extremo que responderá dentro de una empresa día. Lo segundo es que su tren cuenta con soporte técnico para que cuando reciban un informe de una vulnerabilidad de seguridad, no exijan que la persona sea un cliente. (Ese es el problema más común: un investigador llama al soporte técnico e informa sobre la vulnerabilidad, luego el soporte técnico los ignora porque no son clientes).
Más allá de eso, espere que los informes vulnerables terminen mal.