GrammarlyのHackerOneバグバウンティプログラムがセキュリティの脆弱性とリスクをどのように軽減するか

公開: 2020-09-15

Grammarlyでは、セキュリティを最初で最も基本的な製品機能と見なしています。 それは、私たちが会社として運営する方法と製品を開発する方法の中心です。 その一環として、運用管理やセキュリティチャンピオンプログラムから、専門のセキュリティチームによる継続的なアプリケーション監視まで、内部の保護手段を維持しています。 また、毎日2,000万人以上の人々と10,000チームの信頼を検証することを目標に、さらに進んで、サードパーティのソースからの高レベルのリスク評価に投資することも重要であると考えています。

そのため、倫理的なハッカーを集めてあらゆる種類のサイバーセキュリティ問題を評価する主要なセキュリティプラットフォームであるHackerOneを使用してバグバウンティプログラムを実行しています。 2018年に公開プログラムを開始して以来、セキュリティインシデントのリスクを軽減する能力に大きな成功を収めてきました。 有能なセキュリティ研究者のグローバルプールにアクセスできるため、悪用される悪意のある攻撃者によって脆弱性が特定される前に、脆弱性を診断できます。

バグバウンティプログラムによるGrammarlyセキュリティのサポート

バグバウンティプログラムは、倫理的なハッカーを招待してソフトウェアの脆弱性を検出し、修正のために会社に直接報告します。 セキュリティ研究者は、製品を調査し、検出されたバグに関するレポートを編集し、問題の重大度に応じて金銭的な報酬を受け取ります。 彼らは、ソフトウェアプロバイダーが起こりうる脅威を迅速に修正することをサポートする倫理的セキュリティ研究のための厳格なガイドラインに従います。

Grammarlyは、最高レベルの製品セキュリティを確保するために、考えられるすべての手段を模索するよう努めています。 HackerO neは、倫理的なハッキングに焦点を当てた最大のプラットフォームの1つであり、強力なサイバーセキュリティの専門知識を備えた才能のある尊敬されるコミュニティをホストしているため、バグバウンティプログラムのパートナーとなるプラットフォームとして選択しました。 300,000人以上の登録レッドハッカーを擁するこのプラットフォームでは、24時間体制でグローバルな脆弱性監視プログラムを拡張できます。 世界最大かつ最も注目に値するテクノロジー企業のいくつかは、HackerOneとも提携しています。

Grammarlyであなたの文章を安全に保ちます。
私たちは、製品、インフラストラクチャ、および会社のポリシーの中心にセキュリティを維持します。
もっと詳しく知る

成功するプログラムの設定

公開されているHackerOneバグ報奨金プログラムを開始するために、Grammarlyのセキュリティチームはエンジニアリング組織全体のチームと調整して、会社がハッカーと生産的に連携する方法を概説する明確で詳細な一連のルールを作成しました。 これには、HackerOneコミュニティが焦点を当てるのに最も重要な脆弱性に関する仕様と、レポートおよび報酬を提出するための要件が​​含まれます。 範囲を明確にし HackerOneプログラムページに焦点を当てたルールとガイドラインをご覧ください

強力なバグバウンティプログラムを実施するために、私たちはコミュニティと積極的に関わっています。 Grammarlyチームが念頭に置いているいくつかの原則は次のとおりです。

  1. 私たちは一貫したコミュニケーションを維持します。ハッカーに対応し、彼らの仕事について尋ねることが不可欠です。 HackerOneチームはレポートを事前にテストしますが、拒否されたオプションも調べて、セキュリティ体制を強化するために役立つ可能性のあるすべてのフィードバックを確認していることを確認します。
  2. 私たちは迅速に対応します。スピードが重要です。 Grammarlyでは、応答効率のスコアが100%に近い非常に高いスコアを維持していることに誇りを持っています。 研究者の仕事を尊重することは非常に重要です。研究者の多くは、私たちの製品に注意を払い、安全なソフトウェアを促進することに関心を持って仕事をしています。
  3. 標準の報酬を超えるモチベーションを提供します。Grammarlyは、重大な脆弱性をまだ発見していない場合でも、質の高いレポートを送信する研究者に金銭的なボーナスを提供するようにします。 また、個々のバグを探すだけでなく、いくつかの脆弱性からなる複雑な攻撃シナリオを構築しているセキュリティ研究者にもボーナスを提供します。 複雑な分析を奨励したいと思います。

迅速な修復の確保

私たちのHackerOneバグバウンティプログラムは、すべてのユーザーと顧客に安全で安全な製品を提供するのに役立ちます。 この目標を達成するための中心となるのは、セキュリティ研究者からの報告にチームが迅速に対応し、エンジニアリング組織全体のチームと協力して可能な限り迅速に修正することです。

これを確実に行うために、Grammarlyは、脆弱性に迅速に対処するための公式の構造化されたプロセスを維持しています。 当社のセキュリティチームは、すべての受信レポートを管理し、レポートを必要なチームに送信し、エンジニアと協力して、問題を解決するために必要な入力とプロジェクト管理を提供します。

潜在的な脆弱性を解決したら、Grammarlyのエンジニアは、すべてのユーザーと顧客に修正をすぐに提供できるようにする必要があります。 そのため、すべての機能要件を念頭に置いた一貫した更新メカニズムを維持しているため、すべてのお客様は、常に最新かつ安全なバージョンの製品を提供していると信頼できます。

バグバウンティの成功に基づく

2018年にHackerOneで公開バグ報奨金プログラムが開始されて以来、Grammarlyはセキュリティ研究者コミュニティからの並外れた取り組みを受けてきました。 現在までに、約150件のレポートを解決し、127人の研究者に100,000ドル以上を支払いました。 統計は、HackerOneプログラムページで継続的に収集されます

そして、私たちは常に新機能や製品開発に焦点を当てたプログラムの開発を続けています。 セキュリティ研究者がGrammarlyの顧客にとって最も重要なことに注意を向けていることを確認するために、ボーナスやその他のインセンティブを追加します。 人々が働くあらゆる場所で効果的なコミュニケーションをサポートするためにライティングアシスタントを開発し続けている間、私たちは常にHackerOneコミュニティと協力して、最高のセキュリティ研究者に本質的な専門家レベルの精査を提供してもらいます。

Grammarlyはこのプログラムを強く信じています。 これにより、脆弱性を軽減し、潜在的な攻撃者をかわすための最良のリソースへのアクセスが容易になります。 何百万人もの人々が毎日Grammarlyを使用しています。そして、各ユーザーは、ソフトウェアが可能な限り安全で安全であることを信頼できるはずです。 GrammarlyのHackerOneバグバウンティプログラムは、この取り組みをサポートしてくれます。

Grammarlyのセキュリティ操作、ポリシー、プラクティス、およびアテステーションについて詳しくは、こちらをご覧ください