كيف يعمل برنامج مكافآت الأخطاء HackerOne الخاص بـ Grammarly على تقليل الثغرات الأمنية والمخاطر
نشرت: 2020-09-15في Grammarly، نعتبر الأمان الميزة الأولى والأكثر أساسية لمنتجنا. إنه جوهر كيفية عملنا كشركة وكيفية تطوير منتجاتنا. جزء من هذا هو الحفاظ على الضمانات الداخلية، بدءًا من ضوابط العمليات وبرنامج Security Champions إلى المراقبة المستمرة للتطبيقات من قبل فريق الأمان المتخصص لدينا. وبهدف التحقق من ثقة أكثر من 20 مليون شخص و10000 فريق نخدمهم يوميًا، نعتقد أيضًا أنه من الضروري المضي قدمًا - والاستثمار في تقييم المخاطر عالي المستوى من مصادر خارجية.
ولهذا السبب نقوم بتشغيل برنامج مكافأة الأخطاء مع HackerOne، وهي منصة أمنية رائدة تجمع المتسللين الأخلاقيين لتقييم مشكلات الأمن السيبراني بجميع أنواعها. منذ إطلاق برنامجنا العام في عام 2018، شهدنا نجاحًا كبيرًا في قدرتنا على تقليل مخاطر الحوادث الأمنية. ومن خلال الوصول إلى مجموعة عالمية من الباحثين الأمنيين الموهوبين، يمكننا تشخيص نقاط الضعف قبل أن يتم التعرف عليها من قبل الجهات الفاعلة الضارة ليتم استغلالها.
دعم الأمان النحوي من خلال برنامج مكافأة الأخطاء
يدعو برنامج مكافأة الأخطاء المتسللين الأخلاقيين لاكتشاف نقاط الضعف في البرامج والإبلاغ عنها مباشرة إلى الشركة لإصلاحها. يقوم الباحثون الأمنيون بدراسة المنتج، وتجميع التقارير حول الأخطاء المكتشفة، والحصول على مكافآت مالية وفقًا لخطورة المشكلة. إنهم يتبعون إرشادات صارمة لأبحاث الأمن الأخلاقي التي تدعم موفري البرامج في معالجة التهديدات المحتملة بسرعة.
تسعى Grammarly جاهدة لاستكشاف جميع السبل الممكنة لضمان أمان المنتج على أعلى مستوى. لقد اخترنا HackerO ne كمنصة لنا للمشاركة في برنامج مكافأة الأخطاء لأنها واحدة من أكبر المنصات التي تركز على القرصنة الأخلاقية وتستضيف مجتمعًا موهوبًا ومحترمًا يتمتع بخبرة هائلة في مجال الأمن السيبراني. مع وجود أكثر من 300000 من المتسللين المسجلين، تسمح المنصة بتوسيع نطاق برنامج عالمي لمراقبة الثغرات الأمنية على مدار الساعة. كما أبرمت بعض أكبر وأبرز شركات التكنولوجيا في العالم شراكة مع HackerOne.
إعداد برنامج ناجح
لإطلاق برنامج مكافآت الأخطاء HackerOne العام الخاص بنا، قام فريق الأمان في Grammarly بالتنسيق مع فرق عبر المؤسسة الهندسية لإنشاء مجموعة واضحة ومفصلة من القواعد التي تحدد كيف يمكن للشركة العمل بشكل منتج مع المتسللين. يتضمن ذلك مواصفات حول نقاط الضعف الأكثر أهمية بالنسبة لمجتمع HackerOne للتركيز عليها، بالإضافة إلى متطلبات تقديم التقارير والمكافآت. يمكنك الاطلاع على القواعد والإرشادات التي توضح النطاق والتركيز على صفحة برنامج HackerOne الخاصة بنا .
لكي يكون لدينا برنامج قوي لمكافأة اكتشاف الأخطاء، فإننا ننخرط بنشاط مع المجتمع. فيما يلي بعض المبادئ التي يضعها فريق Grammarly في الاعتبار:
- نحن نحافظ على تواصل مستمر:من الضروري الرد على المتسللين وسؤالهم عن عملهم. على الرغم من أن فريق HackerOne يقوم باختبار التقارير مسبقًا، إلا أننا ننظر أيضًا إلى الخيارات المرفوضة للتأكد من أننا نراجع جميع التعليقات التي قد تكون مفيدة لنا لتعزيز وضعنا الأمني.
- نحن نتفاعل بسرعة:السرعة هي جوهر الأمر. في Grammarly، نحن نفخر بالحفاظ على درجة عالية للغاية في كفاءة الاستجابة - تقترب من 100%. من المهم أن نحترم عمل الباحثين، حيث يقوم الكثير منهم بهذا العمل من باب الاهتمام بمنتجنا واهتمامهم بالترويج للبرامج الآمنة.
- نحن نقدم حافزًا يتجاوز المكافآت القياسية:تتأكد شركة Grammarly من تقديم مكافآت مالية للباحثين الذين يرسلون تقارير عالية الجودة - حتى لو لم يعثروا بعد على نقاط ضعف حرجة - حتى يظل هؤلاء الباحثون مشاركين. نحن نقدم أيضًا مكافآت للباحثين الأمنيين الذين لا يبحثون فقط عن الأخطاء الفردية ولكنهم يقومون ببناء سيناريوهات هجوم معقدة تتكون من العديد من نقاط الضعف. نريد تشجيع التحليل المعقد.
ضمان العلاج السريع
يساعدنا برنامج مكافآت الأخطاء HackerOne الخاص بنا على تقديم منتج آمن لجميع مستخدمينا وعملائنا. ومن الأمور الأساسية لتحقيق هذا الهدف التأكد من استجابة فريقنا على الفور للتقارير الواردة من الباحثين الأمنيين، ومن ثم العمل مع الفرق عبر مؤسستنا الهندسية لإصلاح المشكلة في أسرع وقت ممكن.
ولضمان قيامنا بذلك، تحتفظ Grammarly بعملية رسمية ومنظمة لمعالجة أي ثغرات أمنية بسرعة. يدير فريق الأمان لدينا جميع التقارير الواردة، ويوجه التقرير إلى الفريق اللازم، ويتعاون مع المهندسين لتوفير المدخلات اللازمة وإدارة المشروع لحل المشكلات.
بمجرد حل أي ثغرة أمنية محتملة، يحتاج مهندسو Grammarly إلى أن يكونوا قادرين على تقديم الإصلاح لجميع المستخدمين والعملاء على الفور. ولهذا السبب نحافظ على آليات تحديث متسقة تضع في الاعتبار جميع متطلبات الوظائف، بحيث يمكن لجميع العملاء أن يثقوا في أن لديهم دائمًا الإصدار الأحدث والأكثر أمانًا من عروض منتجاتنا.
البناء على نجاح مكافأة الأخطاء
منذ إطلاق برنامج مكافآت الأخطاء العامة الخاص بنا على HackerOne عام 2018، شهدت Grammarly التزامًا استثنائيًا من مجتمع الباحثين الأمنيين. حتى الآن، قمنا بحل ما يقرب من 150 تقريرًا ودفعنا أكثر من 100000 دولار أمريكي لـ 127 باحثًا. يتم جمع الإحصائيات بشكل مستمر على صفحة برنامج HackerOne الخاصة بنا .
ونحن مستمرون دائمًا في تطوير البرنامج للتركيز على الميزات الجديدة وتطويرات المنتجات. نضيف مكافآت وحوافز أخرى للتأكد من أن الباحثين الأمنيين يعيرون اهتمامًا لما هو أكثر أهمية بالنسبة لعملاء Grammarly. بينما نواصل تطوير مساعد الكتابة الخاص بنا لدعم التواصل الفعال في كل مكان يعمل فيه الأشخاص، فإننا نتفاعل باستمرار مع مجتمع HackerOne للحصول على أفضل الباحثين الأمنيين لتوفير التدقيق الأساسي على مستوى الخبراء.
تؤمن Grammarly بشدة بهذا البرنامج. فهو يسهل وصولنا إلى أفضل الموارد للتخفيف من نقاط الضعف ودرء أي مهاجمين محتملين. يستخدم الملايين Grammarly كل يوم، ويجب أن يكون كل مستخدم قادرًا على الثقة في أن البرنامج آمن قدر الإمكان. يدعمنا برنامج مكافآت الأخطاء HackerOne الخاص بـ Grammarly في هذا المسعى.
تعرف على المزيد حول عمليات الأمان والسياسات والممارسات والشهادات الخاصة بـ Grammarly هنا .