本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 制定漏洞披露计划
<a name="disclosure-program"></a>

要想获得漏洞管理[defense-in-depth](apg-gloss.md#glossary-defense-in-depth)方法，请创建漏洞披露计划，以便组织内部或外部的人员可以报告安全漏洞或风险。

对于组织内部人员，请制定提交风险或漏洞的流程。这可以通过工单系统或电子邮件完成。无论选择哪种流程，都必须让您的员工了解该流程，并能够轻松提交其遇到的任何漏洞或风险。

对于组织外部人员，请建立一个外部网页，用于提交潜在的安全漏洞。例如，请参阅 [AWS 漏洞报告](https://aws.amazon.com/security/vulnerability-reporting/)网页。该网页还应包含用于帮助保护组织数据和资产的披露指南。漏洞披露计划不应鼓励潜在的有害活动，因此制定明确的策略以及指南至关重要。制定一个成熟、负责任的披露计划是您在完善计划过程中需要努力实现的目标。大多数组织一开始并没有建立外部披露计划，而完善该计划需要时间。