安全永无止境。

当你像我们一样处于常规软件发布节奏时 Mendix，让我们的产品尽可能安全是我们永恒不变的目标。安全关乎信任。它关乎您信任我们保护您和您的客户。这就是为什么它永远不会只是“完成”。

对信任和保护的不断追求，正是我们追求 最近获得了很多认证这也是为什么我们打开了产品的外壳，看到了漏洞协调平台 HackerOne 并正在实施 漏洞披露 程序（VDP）。

通过向众包安全团队开放我们的产品（由全球 500,000 万名最聪明的道德黑客、渗透测试人员和网络安全研究人员组成），我们已实施安全流程，确保持续保护您和您客户的数据。因此，我很高兴地宣布，自本文发布之日起，我们的 漏洞披露计划已公开.

黑客驱动的安全

网络安全领域的迷人之处在于，当你破解代码时，你试图打破工程师的思维方式。你会尝试各种方法，直到谜题被解开。尽管我们的内部安全措施很棒，但如果测试总是在内部进行，有时测试就会变成回音室。你知道工程师的工作方式，所以你知道从哪里着手，你不用用不同的方法解决难题，而是只用你知道的一两种方法来解决。

你破坏的次数越多，它就越安全。

聘用 HackerOne 庞大的黑客和信息安全专家社区的最大好处之一是多样性。为了真正测试产品安全性的极限，您需要不断破解产品以使其变得更好。HackerOne 社区的多样性确保您的产品可以以无数种方式被破解。您破解的次数越多，您的产品就越安全。

怎么运行的

据 HackerOne 称，1/3 的善意黑客在发现企业软件中的安全漏洞后，由于担心个人受到惩罚，不会向组织披露这些漏洞。我们欢迎这些信息。漏洞永远存在，也总会被发现。我们希望确保合适的人先找到它们。这就是我们与 HackerOne 一起启动 VDP 的原因。

VDP 计划使我们能够发现未知资产并制定交战规则。它还确保我们始终符合 ISO 标准并制定分类和补救计划。

我们正在参与 HackerOne 的 Bug Bounty 计划。该计划开放了 Mendix 平台在安全、受控的环境中向经过严格审查的网络安全专业人员社区提供漏洞查找和发现安全漏洞和漏洞。作为回报，这些人会因其工作获得报酬和认可。

与大型社区源安全平台合作的好处在于，他们可以与我们的威胁模型合作来报告错误和威胁，并帮助对其做出响应。

借助 HackerOne，我们可以在我们的安全武器库中发现并修复漏洞，防止它们暴露给世人。

HackerOne 使我们能够持续接受安全测试。渗透测试可能需要几天时间才能完成我们产品的任何方面。即便如此，您也只是在测量一个时刻，一个快照。很多时候，只是小团队在寻找低严重性错误。借助 HackerOne 庞大的社区，我们可以持续进行安全检查，以确保在整个软件开发生命周期中近乎实时地报告漏洞。

这对你是什么意思呢？

无论您的行业监管如何，您的数据有多么敏感，您都可以放心，任何潜在的漏洞都会在成为问题之前被发现和解决。

使用 HackerOne 使我们能够在发布软件时实施更多的制衡措施。我们可以在产品中应用技术控制。最好的部分是，安全性更高并不意味着我们会放慢速度。不，我们保持相同的速度，以便您可以获得所需的更新和功能。

破坏者和创造者

在我成长的过程中，詹姆斯邦德电影 黄金眼 这部电影俘获了我的心。我爱上了特工的世界和获取绝密信息。从看完那部电影到现在，我已经开始尝试揭露（合乎道德的）安全漏洞；我获得了计算机科学学位；我继续看间谍电影。

与 HackerOne 合作让我感到无比自豪。首先，我知道我们的 使工作更智能 平台是全球最安全的平台之一。此外，我还可以回馈我最亲近的社区。通过 HackerOne，黑客和信息安全专业人士可能正在寻找工作、寻找新的挑战和难题来解决、在公司内难以找到职位或只是想自由职业，但他们能够在网络安全领域立足并赚取薪水。我很高兴能够利用黑客社区的才华，同时支持 Mendix 客户和制造商。

渗透测试通常是一种被动反应。你构建一些东西，然后测试它。然后修复它。这是不可扩展的。借助 HackerOne，我们不仅能够进行持续的第三方渗透测试，还能挑战我们的研发团队不断更积极地思考安全性问题，并在我们产品的每个字节中灌输数据保护意识。

另一种思路

人们认为创新意味着创造新事物。但创新实际上意味着以不同的方式思考。

世界上每个人都应该实施负责任的披露计划，以确保数据的安全。

安全永无止境。保持警惕并不断换位思考始终很重要。这就是为什么我们 向公众展示我们的 VDP世界上每个人都应该实施负责任的披露计划，以确保数据的安全。

最后，有一种普遍的说法是所有黑客都是邪恶的。但最终，世界还是美好的。由道德黑客驱动、社区来源的 VDP 是确保您和您的客户的数据受到保护的一步。始终如此。

即使为了达到目的我们必须打破现状。