本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 開發漏洞揭露計畫
<a name="disclosure-program"></a>

如需[defense-in-depth](apg-gloss.md#glossary-defense-in-depth)漏洞管理的方法，請建立漏洞揭露計畫，以便組織內外的人員可以報告安全漏洞或風險。

對於組織內的人員，請建立提交風險或漏洞的程序。這可以透過票證系統或電子郵件來完成。無論您選擇哪個程序，您的員工都必須了解程序，並且可以輕鬆提交他們遇到的任何漏洞或風險。

對於組織外部的人員，請建立用於提交潛在安全漏洞的外部網頁。例如，請參閱[AWS 漏洞報告](https://aws.amazon.com/security/vulnerability-reporting/)網頁。此網頁也應包含揭露準則，以協助保護組織的資料和資產。漏洞揭露計畫不應鼓勵潛在的有害活動，因此您必須有明確的政策，其中包含指導方針。建立成熟、負責任的披露計劃是在您使計劃成熟時努力的目標。大多數都不是從外部揭露計畫開始，需要一些時間才能正確執行。