كيف يقلل برنامج Grammarly's HackerOne Bug Bounty من نقاط الضعف والمخاطر الأمنية

نشرت: 2020-09-15

في Grammarly ، نعتبر الأمان أول ميزة منتجنا وأكثرها أساسية. إنها في صميم كيفية عملنا كشركة وكيفية تطويرنا لمنتجاتنا. جزء من هذا هو الحفاظ على الضمانات الداخلية ، من ضوابط العمليات وبرنامج Security Champions إلى المراقبة المستمرة للتطبيق من قبل فريق الأمن المتخصص لدينا. وبهدف التحقق من ثقة أكثر من 20 مليون شخص و 10000 فريق نخدمهم كل يوم ، نعتقد أيضًا أنه من الضروري المضي قدمًا - والاستثمار في تقييم المخاطر عالي المستوى من مصادر خارجية.

لهذا السبب نقوم بتشغيل برنامج مكافأة الأخطاء مع HackerOne ، وهي منصة أمان رائدة تجمع المتسللين الأخلاقيين لتقييم مشكلات الأمن السيبراني من جميع الأنواع. منذ إطلاق برنامجنا العام في 2018 ، شهدنا نجاحًا كبيرًا في قدرتنا على تقليل مخاطر الحوادث الأمنية. من خلال الوصول إلى مجموعة عالمية من الباحثين الأمنيين الموهوبين ، يمكننا تشخيص نقاط الضعف قبل أن يتم التعرف عليها من قبل الجهات الخبيثة لاستغلالها.

دعم الأمن النحوي من خلال برنامج مكافأة الأخطاء

يدعو برنامج مكافأة الأخطاء المتسللين الأخلاقيين لاكتشاف نقاط الضعف في البرامج وإبلاغ الشركة بها مباشرةً لإصلاحها. يدرس باحثو الأمن المنتج ، ويجمعون تقارير عن الأخطاء المكتشفة ، ويحصلون على مكافآت مالية وفقًا لدرجة خطورة المشكلة. إنهم يتبعون إرشادات صارمة لأبحاث الأمن الأخلاقي التي تدعم مزودي البرامج في معالجة التهديدات المحتملة بسرعة.

تسعى Grammarly جاهدة لاستكشاف جميع السبل الممكنة لضمان أمان المنتج على أعلى مستوى. اخترنا HackerO ne كمنصة لدينا للمشاركة في برنامج مكافأة الأخطاء لأنها واحدة من أكبر المنصات التي تركز على القرصنة الأخلاقية وتستضيف مجتمعًا موهوبًا ومحترمًا يتمتع بخبرة هائلة في مجال الأمن السيبراني. مع أكثر من 300000 متسلل أحمر مسجل ، تسمح المنصة بتوسيع نطاق برنامج مراقبة نقاط الضعف العالمية على مدار الساعة. كما دخلت بعض أكبر وأبرز شركات التكنولوجيا في العالم في شراكة مع HackerOne.

الحفاظ على كتاباتك آمنة في Grammarly.
نحافظ على الأمان في صميم منتجاتنا والبنية التحتية وسياسات الشركة.
يتعلم أكثر

إنشاء برنامج ناجح

لإطلاق برنامج مكافأة الأخطاء HackerOne العام ، نسق فريق الأمان في Grammarly مع فرق عبر المؤسسة الهندسية لإنشاء مجموعة واضحة ومفصلة من القواعد التي تحدد كيف يمكن للشركة العمل بشكل منتج مع المتسللين. يتضمن ذلك مواصفات حول نقاط الضعف الأكثر أهمية بالنسبة لمجتمع HackerOne للتركيز عليها ، جنبًا إلى جنب مع متطلبات تقديم التقارير والمكافآت. يمكنك الاطلاع على القواعد والإرشادات التي توضح النطاق والتركيز على صفحة برنامج HackerOne الخاصة بنا .

للحصول على برنامج مكافآت أخطاء قوي ، ننخرط بنشاط مع المجتمع. فيما يلي بعض المبادئ التي يضعها فريق Grammarly في الاعتبار:

  1. نحافظ على تواصل متسق: من الضروري الرد على المتسللين وسؤالهم عن عملهم. على الرغم من تقارير الاختبارات المسبقة لفريق HackerOne ، فإننا ننظر أيضًا في الخيارات المرفوضة للتأكد من أننا نراجع جميع التعليقات التي قد تكون مفيدة لنا لتعزيز وضعنا الأمني.
  2. نتفاعل بسرعة: السرعة هي الجوهر. في Grammarly ، نفخر بأنفسنا في الحفاظ على درجة عالية للغاية في كفاءة الاستجابة - ما يقرب من 100٪. من الأهمية بمكان أن نحترم عمل الباحثين ، وكثير منهم يقومون بالعمل بدون رعاية لمنتجنا واهتمامهم بتعزيز البرامج الآمنة.
  3. نحن نقدم دافعًا يتجاوز المكافأة القياسية: تتأكد Grammarly من تقديم مكافآت مالية للباحثين الذين يرسلون تقارير الجودة - حتى لو لم يكتشفوا بعد نقاط ضعف حرجة - لذلك يظل هؤلاء الباحثون مشاركين. نقدم أيضًا مكافآت للباحثين الأمنيين الذين لا يبحثون فقط عن أخطاء فردية ولكنهم يبنون سيناريوهات هجوم معقدة تتكون من عدة نقاط ضعف. نريد تشجيع التحليل المعقد.

ضمان المعالجة السريعة

يساعدنا برنامج مكافأة الأخطاء HackerOne على تقديم منتج آمن لجميع مستخدمينا وعملائنا. من الأمور الأساسية لتحقيق هذا الهدف التأكد من استجابة فريقنا على الفور للتقارير الواردة من الباحثين الأمنيين - ثم العمل مع فرق عبر مؤسستنا الهندسية لإصلاحها في أسرع وقت ممكن.

لضمان قيامنا بذلك ، تحتفظ Grammarly بعملية رسمية منظمة لمعالجة أي ثغرات أمنية بسرعة. يدير فريق الأمان لدينا جميع التقارير الواردة ، ويوجه التقرير إلى الفريق الضروري ، ويتعاون مع المهندسين لتوفير المدخلات اللازمة وإدارة المشروع لحل المشكلات.

بمجرد حل أي ثغرة أمنية محتملة ، يحتاج مهندسو Grammarly إلى أن يكونوا قادرين على تقديم الإصلاح لجميع المستخدمين والعملاء على الفور. لهذا السبب نحافظ على آليات تحديث متسقة تضع في الاعتبار جميع متطلبات الوظائف - بحيث يمكن لجميع العملاء الوثوق في أن لديهم دائمًا الإصدار الأحدث والأكثر أمانًا من عروض منتجاتنا.

البناء على نجاح مكافأة الأخطاء

منذ إطلاق برنامج مكافأة الأخطاء العامة لعام 2018 على HackerOne ، شهد Grammarly التزامًا غير عادي من مجتمع الباحثين الأمنيين. حتى الآن ، قمنا بحل ما يقرب من 150 تقريرًا ودفعنا أكثر من 100000 دولار إلى 127 باحثًا. يتم جمع الإحصائيات باستمرار على صفحة برنامج HackerOne الخاصة بنا .

ونستمر دائمًا في تطوير البرنامج للتركيز على الميزات الجديدة وتطوير المنتجات. نضيف مكافآت وحوافز أخرى للتأكد من أن الباحثين في مجال الأمن ينتبهون لما هو أكثر أهمية لعملاء Grammarly. بينما نواصل تطوير مساعد الكتابة لدينا لدعم التواصل الفعال في كل مكان يعمل فيه الأشخاص ، فإننا نشارك باستمرار مع مجتمع HackerOne للحصول على كبار الباحثين الأمنيين لتوفير تدقيق أساسي على مستوى الخبراء.

Grammarly يؤمن بشدة بهذا البرنامج. إنه يسهل وصولنا إلى أفضل الموارد لتقليل نقاط الضعف وصد أي مهاجمين محتملين. يستخدم الملايين Grammarly كل يوم - ويجب أن يكون كل مستخدم قادرًا على الوثوق في أن البرنامج آمن ومأمون قدر الإمكان. يدعمنا برنامج مكافأة الأخطاء HackerOne من Grammarly في هذا المسعى.

تعرف على المزيد حول عمليات وسياسات وممارسات وشهادات الأمان النحوي هنا .