In che modo il programma HackerOne Bug Bounty di Grammarly riduce le vulnerabilità e i rischi della sicurezza
Pubblicato: 2020-09-15Noi di Grammarly consideriamo la sicurezza la nostra prima e più fondamentale caratteristica del prodotto. È al centro del modo in cui operiamo come azienda e del modo in cui sviluppiamo il nostro prodotto. Parte di questo è il mantenimento delle salvaguardie interne, dai controlli operativi e un programma Security Champions al monitoraggio costante delle applicazioni da parte del nostro team di sicurezza specializzato. E con l'obiettivo di convalidare la fiducia degli oltre 20 milioni di persone e dei 10.000 team che serviamo ogni giorno, riteniamo anche fondamentale andare oltre e investire in una valutazione del rischio di alto livello da fonti terze.
Ecco perché eseguiamo un programma bug bounty con HackerOne, una piattaforma di sicurezza leader che riunisce hacker etici per valutare problemi di sicurezza informatica di ogni tipo. Dal lancio del nostro programma pubblico nel 2018, abbiamo riscontrato un grande successo nella nostra capacità di ridurre il rischio di incidenti di sicurezza. Con l'accesso a un pool globale di ricercatori di sicurezza di talento, possiamo diagnosticare le vulnerabilità prima che possano essere identificate da soggetti malintenzionati per essere sfruttate.
Supportare la sicurezza grammaticale attraverso un programma di bug bounty
Un programma di bug bounty invita gli hacker etici a rilevare le vulnerabilità del software e a segnalarle direttamente all'azienda per la risoluzione. I ricercatori di sicurezza studiano il prodotto, compilano rapporti sui bug rilevati e ricevono ricompense in denaro in base alla criticità del problema. Seguono linee guida rigorose per la ricerca sulla sicurezza etica che supportano i fornitori di software nella risoluzione rapida di possibili minacce.
Grammarly si impegna a esplorare tutte le strade possibili per garantire la sicurezza del prodotto al massimo livello. Abbiamo selezionato HackerO ne come piattaforma con cui collaborare per un programma bug bounty perché è una delle più grandi piattaforme focalizzate sull'hacking etico e ospita una comunità talentuosa e rispettata con una formidabile esperienza in materia di sicurezza informatica. Con oltre 300.000 red hacker registrati, la piattaforma consente di implementare un programma globale di monitoraggio delle vulnerabilità 24 ore su 24. Anche alcune delle aziende tecnologiche più grandi e importanti del mondo hanno collaborato con HackerOne.
Impostazione di un programma di successo
Per lanciare il nostro programma pubblico di bug bounty HackerOne, il team di sicurezza di Grammarly si è coordinato con i team dell'organizzazione Engineering per creare un insieme chiaro e dettagliato di regole che descrivono come l'azienda può lavorare in modo produttivo con gli hacker. Ciò include specifiche su quali vulnerabilità sono più cruciali su cui la comunità HackerOne deve concentrarsi, insieme ai requisiti per l'invio di segnalazioni e premi. Puoi vedere le regole e le linee guida che chiariscono l'ambito e si concentrano sulla nostra pagina del programma HackerOne .
Per avere un efficace programma di ricompensa dei bug, ci impegniamo attivamente con la comunità. Ecco alcuni principi che il team di Grammarly tiene a mente:
- Manteniamo una comunicazione coerente:è essenziale rispondere agli hacker e chiedere loro informazioni sul loro lavoro. Anche se il team HackerOne esegue pre-test dei rapporti, esaminiamo anche le opzioni rifiutate per assicurarci di esaminare tutti i feedback che potrebbero esserci utili per rafforzare la nostra posizione di sicurezza.
- Reagiamo rapidamente:la velocità è essenziale. Noi di Grammarly siamo orgogliosi di mantenere un punteggio estremamente alto per l'efficienza della risposta, vicino al 100%. È fondamentale rispettare il lavoro dei ricercatori, molti dei quali svolgono il loro lavoro spinti dalla preoccupazione per il nostro prodotto e dall'interesse nella promozione di software sicuro.
- Forniamo motivazione oltre la remunerazione standard:Grammarly si assicura di fornire bonus monetari ai ricercatori che inviano rapporti di qualità, anche se non hanno ancora trovato vulnerabilità critiche, in modo che questi ricercatori rimangano coinvolti. Forniamo anche bonus ai ricercatori di sicurezza che non cercano solo singoli bug ma costruiscono scenari di attacco complessi costituiti da diverse vulnerabilità. Vogliamo incoraggiare l’analisi complessa.
Garantire una riparazione rapida
Il nostro programma bug bounty HackerOne ci aiuta a fornire un prodotto sicuro e protetto per tutti i nostri utenti e clienti. Fondamentale per raggiungere questo obiettivo è assicurarsi che il nostro team risponda tempestivamente alle segnalazioni dei ricercatori sulla sicurezza e quindi collabori con i team della nostra organizzazione di ingegneria per porre rimedio il più rapidamente possibile.
Per garantire ciò, Grammarly mantiene un processo ufficiale e strutturato per affrontare rapidamente eventuali vulnerabilità. Il nostro team di sicurezza gestisce tutte le segnalazioni in arrivo, indirizza la segnalazione al team necessario e collabora con gli ingegneri per fornire gli input necessari e la gestione del progetto per risolvere i problemi.
Una volta risolta qualsiasi potenziale vulnerabilità, gli ingegneri di Grammarly devono essere in grado di fornire immediatamente la soluzione a tutti gli utenti e clienti. Ecco perché manteniamo meccanismi di aggiornamento coerenti che tengono conto di tutti i requisiti di funzionalità, in modo che tutti i clienti possano avere la certezza di disporre sempre della versione più aggiornata e sicura delle nostre offerte di prodotti.
Basandosi sul successo del bug bounty
Dal lancio nel 2018 del nostro programma pubblico di bug bounty su HackerOne, Grammarly ha visto un impegno straordinario da parte della comunità dei ricercatori di sicurezza. Ad oggi, abbiamo risolto quasi 150 segnalazioni e pagato più di 100.000 dollari a 127 ricercatori. Le statistiche vengono raccolte continuamente sulla pagina del nostro programma HackerOne .
E continuiamo costantemente a sviluppare il programma per concentrarci su nuove funzionalità e sviluppi di prodotto. Aggiungiamo bonus e altri incentivi per garantire che i ricercatori sulla sicurezza prestino attenzione a ciò che è più importante per i clienti di Grammarly. Mentre continuiamo a sviluppare il nostro assistente alla scrittura per supportare una comunicazione efficace ovunque le persone lavorino, ci impegniamo costantemente con la comunità HackerOne per convincere i migliori ricercatori in materia di sicurezza a fornire un controllo essenziale a livello di esperti.
Grammarly crede fortemente in questo programma. Facilita il nostro accesso alle migliori risorse per mitigare le vulnerabilità e respingere qualsiasi potenziale aggressore. Milioni di persone utilizzano Grammarly ogni giorno e ogni utente dovrebbe poter avere la certezza che il software sia il più sicuro e protetto possibile. Il programma bug bounty HackerOne di Grammarly ci supporta in questo sforzo.
Scopri di più su operazioni, policy, pratiche e attestazioni di sicurezza grammaticale qui .