Wie das HackerOne Bug Bounty-Programm von Grammarly Sicherheitslücken und Risiken reduziert

Veröffentlicht: 2020-09-15

Bei Grammarly betrachten wir Sicherheit als unsere erste und grundlegendste Produktfunktion. Es steht im Mittelpunkt unserer Geschäftstätigkeit und der Entwicklung unserer Produkte. Ein Teil davon ist die Aufrechterhaltung interner Sicherheitsmaßnahmen, von Betriebskontrollen und einem Security-Champions-Programm bis hin zur ständigen Anwendungsüberwachung durch unser spezialisiertes Sicherheitsteam. Und mit dem Ziel, das Vertrauen der mehr als 20 Millionen Menschen und 10.000 Teams, denen wir täglich dienen, zu bestätigen, glauben wir auch, dass es wichtig ist, noch weiter zu gehen – und in eine hochrangige Risikobewertung aus Drittquellen zu investieren.

Aus diesem Grund führen wir ein Bug-Bounty-Programm mit HackerOne durch, einer führenden Sicherheitsplattform, die ethische Hacker zusammenbringt, um Cybersicherheitsprobleme aller Art zu bewerten. Seit dem Start unseres öffentlichen Programms im Jahr 2018 konnten wir große Erfolge bei der Reduzierung des Risikos von Sicherheitsvorfällen verzeichnen. Durch den Zugriff auf einen globalen Pool talentierter Sicherheitsforscher können wir Schwachstellen diagnostizieren, bevor sie von böswilligen Akteuren identifiziert und ausgenutzt werden können.

Unterstützung der Grammatiksicherheit durch ein Bug-Bounty-Programm

Ein Bug-Bounty-Programm lädt ethische Hacker dazu ein, Software-Schwachstellen zu erkennen und diese direkt dem Unternehmen zur Behebung zu melden. Sicherheitsforscher untersuchen das Produkt, erstellen Berichte über erkannte Fehler und erhalten je nach Schwere des Problems eine finanzielle Belohnung. Sie befolgen strenge Richtlinien für ethische Sicherheitsforschung, die Softwareanbieter dabei unterstützen, mögliche Bedrohungen schnell zu beheben.

Grammarly ist bestrebt, alle möglichen Wege zu erkunden, um Produktsicherheit auf höchstem Niveau zu gewährleisten. Wir haben HackerO ne als unsere Plattform als Partner für ein Bug-Bounty-Programm ausgewählt, da es sich um eine der größten Plattformen mit Schwerpunkt auf ethischem Hacking handelt und eine talentierte, angesehene Community mit beeindruckender Cybersicherheitsexpertise beherbergt. Mit mehr als 300.000 registrierten Hackern ermöglicht die Plattform die Skalierung eines globalen Programms zur Überwachung von Schwachstellen rund um die Uhr. Einige der weltweit größten und bekanntesten Technologieunternehmen sind ebenfalls Partnerschaften mit HackerOne eingegangen.

Schützen Sie Ihr Schreiben bei Grammarly.
Für uns steht die Sicherheit im Mittelpunkt unserer Produkt-, Infrastruktur- und Unternehmensrichtlinien.

Ein erfolgreiches Programm aufsetzen

Um unser öffentliches HackerOne-Bug-Bounty-Programm zu starten, koordinierte das Sicherheitsteam von Grammarly mit Teams in der gesamten Engineering-Organisation ein klares und detailliertes Regelwerk, das darlegt, wie das Unternehmen produktiv mit Hackern zusammenarbeiten kann. Dazu gehören Spezifikationen darüber, welche Schwachstellen für die HackerOne-Community am wichtigsten sind, um sich darauf zu konzentrieren, sowie Anforderungen für die Übermittlung von Berichten und Belohnungen. Die Regeln und Richtlinien, die den Umfang und die Schwerpunkte klären, finden Sie auf unserer HackerOne-Programmseite .

Um ein starkes Bug-Bounty-Programm zu haben, engagieren wir uns aktiv mit der Community. Hier sind einige Grundsätze, die das Grammarly-Team im Auge behält:

  1. Wir pflegen eine konsequente Kommunikation:Es ist wichtig, auf Hacker zu reagieren und sie zu ihrer Arbeit zu befragen. Auch wenn das HackerOne-Team Berichte vorab prüft, schauen wir uns auch die abgelehnten Optionen an, um sicherzustellen, dass wir alle Rückmeldungen prüfen, die für uns nützlich sein könnten, um unsere Sicherheitslage zu stärken.
  2. Wir reagieren schnell:Schnelligkeit ist gefragt. Bei Grammarly sind wir stolz darauf, eine extrem hohe Bewertung für die Antworteffizienz aufrechtzuerhalten – nahezu 100 %. Es ist wichtig, dass wir die Arbeit der Forscher respektieren, von denen viele aus Sorge um unser Produkt und aus Interesse an der Förderung sicherer Software arbeiten.
  3. Wir bieten Motivation, die über die Standardvergütung hinausgeht:Grammarly stellt sicher, dass Forscher, die Qualitätsberichte einsenden, finanzielle Prämien erhalten – auch wenn sie noch keine kritischen Schwachstellen gefunden haben –, damit diese Forscher engagiert bleiben. Wir bieten auch Prämien für Sicherheitsforscher an, die nicht nur nach einzelnen Fehlern suchen, sondern komplexe Angriffsszenarien aus mehreren Schwachstellen erstellen. Wir wollen komplexe Analysen fördern.

Gewährleistung einer schnellen Sanierung

Unser HackerOne-Bug-Bounty-Programm hilft uns, ein Produkt zu liefern, das für alle unsere Benutzer und Kunden sicher ist. Um dieses Ziel zu erreichen, ist es von zentraler Bedeutung, sicherzustellen, dass unser Team umgehend auf Berichte von Sicherheitsforschern reagiert – und dann mit Teams in unserer gesamten technischen Organisation zusammenarbeitet, um so schnell wie möglich Abhilfe zu schaffen.

Um sicherzustellen, dass wir dies tun, unterhält Grammarly einen offiziellen, strukturierten Prozess, um etwaige Schwachstellen schnell zu beheben. Unser Sicherheitsteam verwaltet alle eingehenden Berichte, leitet den Bericht an das erforderliche Team weiter und arbeitet mit Ingenieuren zusammen, um den erforderlichen Input und das Projektmanagement zur Lösung von Problemen bereitzustellen.

Sobald wir eine potenzielle Schwachstelle behoben haben, müssen die Ingenieure von Grammarly in der Lage sein, die Lösung sofort allen Benutzern und Kunden bereitzustellen. Deshalb pflegen wir konsistente Update-Mechanismen, die alle Funktionsanforderungen berücksichtigen – so können alle Kunden darauf vertrauen, dass sie immer über die aktuellste und sicherste Version unseres Produktangebots verfügen.

Aufbauend auf dem Bug-Bounty-Erfolg

Seit dem Start unseres öffentlichen Bug-Bounty-Programms auf HackerOne im Jahr 2018 hat Grammarly ein außergewöhnliches Engagement der Sicherheitsforscher-Community erlebt. Bis heute haben wir fast 150 Berichte gelöst und mehr als 100.000 US-Dollar an 127 Forscher gezahlt. Statistiken werden kontinuierlich auf unserer HackerOne-Programmseite gesammelt .

Und wir entwickeln das Programm ständig weiter, um uns auf neue Funktionen und Produktentwicklungen zu konzentrieren. Wir fügen Boni und andere Anreize hinzu, um sicherzustellen, dass Sicherheitsforscher darauf achten, was für Grammarly-Kunden am wichtigsten ist. Während wir unseren Schreibassistenten weiterentwickeln, um eine effektive Kommunikation überall dort zu unterstützen, wo Menschen arbeiten, arbeiten wir kontinuierlich mit der HackerOne-Community zusammen, um die besten Sicherheitsforscher für eine grundlegende Prüfung auf Expertenebene zu gewinnen.

Grammarly glaubt fest an dieses Programm. Es erleichtert uns den Zugriff auf die besten Ressourcen, um Schwachstellen zu mindern und potenzielle Angreifer abzuwehren. Millionen nutzen Grammarly täglich – und jeder Benutzer sollte darauf vertrauen können, dass die Software so sicher wie möglich ist. Das Bug-Bounty-Programm HackerOne von Grammarly unterstützt uns dabei.

Erfahren Sie hier mehr über Grammarly-Sicherheitsvorgänge, -richtlinien, -praktiken und -Bescheinigungen .