关键在于代码

使用专用工具和系统分析产品代码编写的各个阶段。

与安全研究人员合作

理想情况下，每个供应商都应该有自己持续的漏洞赏金计划，以测试基础设施、软件发布流程和最终产品。这将有助于在真正的攻击发生之前发现漏洞，保护客户。

及时回应漏洞报告

尤其是当这些报告非常重要时。我们估计，在 2022 年至 2023 年期间，只有 57% 的供应商能够快速（一周内）响应我们的研究人员报告的漏洞。而在发生无法挽回的事情之前，他们仍有时间修复漏洞并发布更新！

不要对漏洞保持沉默

如果您发现了漏洞（自己发现或在研究人员的帮助下发现），请为其开发补丁，获得标识符（在 CVE 列表中）并公布所有这些信息。

尽快发布更新

尽快发布更新并报告更新--这样攻击者就不会第一个发现系统中的弱点！即使他们自己不利用这些信息发动攻击，他们也可以在黑市上出售这些信息。

完善查找和管理漏洞的流程

进入建立高效网络安全的流程，利用漏洞管理系统。例如，MaxPatrol VM：它能分析漏洞信息，并突出显示最危险的漏洞--趋势漏洞（有关这些漏洞的信息几乎会立即出现在产品中，在检测后 12 小时内）。

小心开源！

如果您的产品使用开源解决方案（例如，流行的 Linux 系统的内核），请告知客户其中的已知漏洞（或不存在的漏洞），这样他们就可以专注于消除真正的威胁，而不是进行不必要的检查。