Grammarly の HackerOne バグ報奨金プログラムがセキュリティの脆弱性とリスクをどのように軽減するか

Grammarly では、セキュリティが最初で最も基本的な製品機能であると考えています。これは、当社が企業としてどのように運営され、どのように製品を開発するかの中核です。その一環として、運用管理やセキュリティ チャンピオン プログラムから、専門のセキュリティ チームによるアプリケーションの継続的な監視に至るまで、内部の安全対策を維持しています。そして、当社が毎日サービスを提供している 2,000 万人以上の人々と 10,000 のチームの信頼を検証するという目標を達成するには、さらに前進し、サードパーティ情報源からの高レベルのリスク評価に投資することが重要であると考えています。

そのため、当社は、倫理的なハッカーを集めてあらゆる種類のサイバーセキュリティ問題を評価する主要なセキュリティ プラットフォームである HackerOne でバグ報奨金プログラムを実行しています。 2018 年に公開プログラムを開始して以来、セキュリティ インシデントのリスクを軽減する能力において大きな成功を収めてきました。有能なセキュリティ研究者の世界的なプールにアクセスできるため、悪意のある攻撃者が悪用するために脆弱性が特定される前に、脆弱性を診断できます。

バグ報奨金プログラムを通じて Grammarly のセキュリティをサポートする

バグ報奨金プログラムでは、倫理的なハッカーがソフトウェアの脆弱性を検出し、修復のために会社に直接報告するよう招待されています。セキュリティ研究者は製品を研究し、検出されたバグに関するレポートをまとめ、問題の重大度に応じて金銭的な報酬を受け取ります。彼らは、ソフトウェアプロバイダーが潜在的な脅威を迅速に修復することをサポートする倫理的なセキュリティ研究の厳格なガイドラインに従っています。

Grammarly は、製品のセキュリティを最高レベルで確保するために、あらゆる可能な手段を模索するよう努めています。私たちがバグ報奨金プログラムのパートナーとなるプラットフォームとして HackerO ne を選択したのは、HackerO ne が倫理的なハッキングに焦点を当てた最大規模のプラットフォームの 1 つであり、優れたサイバーセキュリティの専門知識を備えた有能で評判の高いコミュニティをホストしているためです。 300,000 人以上のレッドハッカーが登録しているこのプラットフォームにより、グローバルな脆弱性監視プログラムを 24 時間体制で拡張することができます。世界最大かつ最も注目すべきテクノロジー企業のいくつかも HackerOne と提携しています。

成功するプログラムのセットアップ

パブリック HackerOne バグ報奨金プログラムを開始するために、Grammarly のセキュリティ チームはエンジニアリング組織全体のチームと連携して、会社がハッカーと生産的に協力する方法を概説する明確で詳細な一連のルールを作成しました。これには、HackerOne コミュニティが注目すべき最も重要な脆弱性に関する仕様と、レポートの提出と報酬の要件が含まれます。範囲を明確にし、焦点を当てたルールとガイドラインは、HackerOne プログラム ページでご覧いただけます。

強力なバグ報奨金プログラムを用意するために、私たちはコミュニティと積極的に関わります。 Grammarly チームが常に念頭に置いている原則をいくつか示します。

1. 私たちは一貫したコミュニケーションを維持します。ハッカーに応答し、彼らの仕事について尋ねることは不可欠です。 HackerOne チームはレポートを事前テストしますが、セキュリティ体制の強化に役立つ可能性のあるすべてのフィードバックを確認するために、拒否されたオプションも確認します。
2. 私たちは迅速に対応します。スピードが最も重要です。 Grammarly は、応答効率に関して 100% に近い非常に高いスコアを維持していることに誇りを持っています。研究者の仕事を尊重することは非常に重要です。研究者の多くは、当社の製品への配慮と安全なソフトウェアの推進への関心から研究を行っています。
3. 標準報酬を超えたモチベーションを提供します。Grammarlyは、たとえ重大な脆弱性がまだ発見されていない場合でも、質の高いレポートを送信した研究者に金銭的なボーナスを提供することを保証し、研究者が継続的に関与できるようにします。また、個々のバグを探すだけでなく、複数の脆弱性から構成される複雑な攻撃シナリオを構築しているセキュリティ研究者にもボーナスを提供します。私たちは複雑な分析を奨励したいと考えています。

迅速な修復の確保

当社の HackerOne バグ報奨金プログラムは、すべてのユーザーと顧客にとって安全な製品を提供するのに役立ちます。この目標を達成するための中心となるのは、セキュリティ研究者からの報告にチームが迅速に対応し、エンジニアリング組織全体のチームと協力してできるだけ早く修復することです。

これを確実に実行するために、Grammarly はあらゆる脆弱性に迅速に対処するための公式で構造化されたプロセスを維持しています。当社のセキュリティ チームは、受信したすべてのレポートを管理し、レポートを必要なチームに送信し、エンジニアと協力して問題を解決するために必要な入力とプロジェクト管理を提供します。

潜在的な脆弱性を解決したら、Grammarly のエンジニアはその修正をすべてのユーザーと顧客に即座に提供できる必要があります。そのため、当社はすべての機能要件を念頭に置いた一貫した更新メカニズムを維持しており、すべてのお客様が当社製品の最新かつ安全なバージョンを常に使用していることを信頼できます。

バグ報奨金の成功を基に構築

2018 年に HackerOne で公開バグ報奨金プログラムを開始して以来、Grammarly はセキュリティ研究者コミュニティからの並外れた取り組みを行ってきました。現在までに、私たちは約 150 件のレポートを解決し、127 人の研究者に 10 万ドル以上を支払いました。統計は、HackerOne プログラム ページで継続的に収集されます。

そして、私たちは常に新しい機能と製品開発に焦点を当ててプログラムの開発を続けています。 Grammarly の顧客にとって最も重要なことにセキュリティ研究者が確実に注意を払うように、ボーナスやその他のインセンティブを追加します。私たちは、人々が働くあらゆる場所で効果的なコミュニケーションをサポートするライティング アシスタントの開発を継続するとともに、HackerOne コミュニティと継続的に連携して、トップのセキュリティ研究者に重要な専門家レベルの精査を提供してもらいます。

Grammarly はこのプログラムを強く信じています。これにより、脆弱性を軽減し、潜在的な攻撃者を防御するための最適なリソースへのアクセスが容易になります。何百万人もの人が毎日 Grammarly を使用しています。各ユーザーは、ソフトウェアが可能な限り安全であると信頼できる必要があります。 Grammarly の HackerOne バグ報奨金プログラムは、この取り組みをサポートしています。

Grammarly のセキュリティ運用、ポリシー、実践、および証明書の詳細については、こちらをご覧ください。