Comment le programme HackerOne Bug Bounty de Grammarly réduit les vulnérabilités et les risques de sécurité
Publié: 2020-09-15Chez Grammarly, nous considérons la sécurité comme notre première et la plus fondamentale fonctionnalité du produit. C'est au cœur de la manière dont nous fonctionnons en tant qu'entreprise et dont nous développons nos produits. Cela consiste en partie à maintenir des mesures de protection internes, depuis les contrôles opérationnels et un programme de champions de la sécurité jusqu'à la surveillance constante des applications par notre équipe de sécurité spécialisée. Et dans le but de valider la confiance de plus de 20 millions de personnes et de 10 000 équipes que nous servons chaque jour, nous pensons également qu'il est essentiel d'aller plus loin et d'investir dans une évaluation des risques de haut niveau provenant de sources tierces.
C'est pourquoi nous gérons un programme de bug bounty avec HackerOne, une plateforme de sécurité leader qui rassemble des hackers éthiques pour évaluer les problèmes de cybersécurité de toutes sortes. Depuis le lancement de notre programme public en 2018, nous avons connu un grand succès dans notre capacité à réduire le risque d'incidents de sécurité. Grâce à l’accès à un pool mondial de chercheurs en sécurité talentueux, nous pouvons diagnostiquer les vulnérabilités avant qu’elles ne puissent être identifiées par des acteurs malveillants et exploitées.
Prise en charge de la sécurité Grammarly via un programme de bug bounty
Un programme de bug bounty invite les pirates informatiques éthiques à détecter les vulnérabilités des logiciels et à les signaler directement à l'entreprise pour y remédier. Les chercheurs en sécurité étudient le produit, compilent des rapports sur les bogues détectés et reçoivent des récompenses monétaires en fonction de la criticité du problème. Ils suivent des directives strictes en matière de recherche éthique sur la sécurité qui aident les fournisseurs de logiciels à remédier rapidement aux menaces possibles.
Grammarly s'efforce d'explorer toutes les voies possibles pour garantir la sécurité des produits au plus haut niveau. Nous avons choisi HackerO ne comme plateforme avec laquelle nous associer pour un programme de bug bounty, car il s'agit de l'une des plus grandes plateformes axées sur le piratage éthique et héberge une communauté talentueuse et respectée dotée d'une formidable expertise en cybersécurité. Avec plus de 300 000 pirates informatiques enregistrés, la plateforme permet de mettre à l’échelle un programme mondial de surveillance des vulnérabilités 24 heures sur 24. Certaines des entreprises technologiques les plus importantes et les plus remarquables au monde se sont également associées à HackerOne.
Mettre en place un programme réussi
Pour lancer notre programme public de primes de bogues HackerOne, l'équipe de sécurité de Grammarly s'est coordonnée avec les équipes de l'organisation d'ingénierie pour créer un ensemble de règles claires et détaillées décrivant comment l'entreprise peut travailler de manière productive avec les pirates. Cela inclut des spécifications sur les vulnérabilités les plus cruciales sur lesquelles la communauté HackerOne doit se concentrer, ainsi que les exigences de soumission de rapports et de récompenses. Vous pouvez consulter les règles et directives qui clarifient la portée et se concentrent sur notre page du programme HackerOne .
Pour avoir un programme de bug bounty solide, nous nous engageons activement auprès de la communauté. Voici quelques principes que l’équipe Grammarly garde à l’esprit :
- Nous maintenons une communication cohérente :il est essentiel de répondre aux pirates et de les interroger sur leur travail. Même si l'équipe HackerOne pré-teste les rapports, nous examinons également les options rejetées pour nous assurer que nous examinons tous les commentaires qui peuvent nous être utiles pour renforcer notre posture de sécurité.
- Nous réagissons rapidement :la rapidité est essentielle. Chez Grammarly, nous sommes fiers de maintenir un score extrêmement élevé pour l'efficacité des réponses, proche de 100 %. Il est essentiel que nous respections le travail des chercheurs, dont beaucoup effectuent leur travail par souci de notre produit et par intérêt à promouvoir des logiciels sécurisés.
- Nous fournissons une motivation au-delà de la rémunération standard :Grammarly s'assure de fournir des primes monétaires aux chercheurs qui envoient des rapports de qualité, même s'ils n'ont pas encore trouvé de vulnérabilités critiques, afin que ces chercheurs restent engagés. Nous offrons également des bonus aux chercheurs en sécurité qui ne recherchent pas seulement des bogues individuels, mais élaborent des scénarios d'attaque complexes comprenant plusieurs vulnérabilités. Nous voulons encourager les analyses complexes.
Assurer une réparation rapide
Notre programme de bug bounty HackerOne nous aide à fournir un produit sûr et sécurisé pour tous nos utilisateurs et clients. Pour atteindre cet objectif, il est essentiel de s'assurer que notre équipe réponde rapidement aux rapports des chercheurs en sécurité, puis de travailler avec les équipes de notre organisation d'ingénierie pour y remédier le plus rapidement possible.
Pour garantir que nous le faisons, Grammarly maintient un processus officiel et structuré pour remédier rapidement à toute vulnérabilité. Notre équipe de sécurité gère tous les rapports entrants, dirige le rapport vers l'équipe concernée et collabore avec les ingénieurs pour fournir les informations nécessaires et la gestion de projet pour résoudre les problèmes.
Une fois que nous avons résolu toute vulnérabilité potentielle, les ingénieurs de Grammarly doivent alors être en mesure de fournir immédiatement le correctif à tous les utilisateurs et clients. C'est pourquoi nous maintenons des mécanismes de mise à jour cohérents qui gardent à l'esprit toutes les exigences de fonctionnalités, afin que tous les clients puissent être sûrs qu'ils disposent toujours de la version la plus à jour et la plus sécurisée de nos offres de produits.
S'appuyer sur le succès du bug bounty
Depuis le lancement en 2018 de notre programme public de primes de bogues sur HackerOne, Grammarly a constaté un engagement extraordinaire de la part de la communauté des chercheurs en sécurité. À ce jour, nous avons résolu près de 150 rapports et versé plus de 100 000 $ à 127 chercheurs. Les statistiques sont continuellement collectées sur notre page du programme HackerOne .
Et nous continuons toujours à développer le programme pour nous concentrer sur les nouvelles fonctionnalités et les développements de produits. Nous ajoutons des bonus et d'autres incitations pour nous assurer que les chercheurs en sécurité prêtent attention à ce qui est le plus important pour les clients Grammarly. Alors que nous continuons à développer notre assistant de rédaction pour prendre en charge une communication efficace partout où les gens travaillent, nous nous engageons constamment avec la communauté HackerOne pour amener les meilleurs chercheurs en sécurité à fournir un examen minutieux essentiel au niveau des experts.
Grammarly croit fermement en ce programme. Il facilite notre accès aux meilleures ressources pour atténuer les vulnérabilités et repousser les attaquants potentiels. Des millions de personnes utilisent Grammarly chaque jour et chaque utilisateur doit pouvoir être sûr que le logiciel est aussi sûr et sécurisé que possible. Le programme de primes de bogues HackerOne de Grammarly nous soutient dans cette entreprise.
Apprenez-en plus sur les opérations, les politiques, les pratiques et les attestations de sécurité Grammarly ici .