In che modo il programma HackerOne Bug Bounty di Grammarly riduce le vulnerabilità e i rischi per la sicurezza

Pubblicato: 2020-09-15

In Grammarly, consideriamo la sicurezza la nostra prima e più fondamentale caratteristica del prodotto. È al centro del modo in cui operiamo come azienda e di come sviluppiamo il nostro prodotto. Parte di questo è il mantenimento delle salvaguardie interne, dai controlli operativi e un programma Security Champions al monitoraggio costante delle applicazioni da parte del nostro team di sicurezza specializzato. E con l'obiettivo di convalidare la fiducia degli oltre 20 milioni di persone e dei 10.000 team che serviamo ogni giorno, riteniamo anche fondamentale andare oltre e investire nella valutazione del rischio di alto livello da fonti di terze parti.

Ecco perché gestiamo un programma di ricompense dei bug con HackerOne, una piattaforma di sicurezza leader che riunisce hacker etici per valutare problemi di sicurezza informatica di ogni tipo. Da quando abbiamo lanciato il nostro programma pubblico nel 2018, abbiamo riscontrato un grande successo nella nostra capacità di ridurre il rischio di incidenti di sicurezza. Con l'accesso a un pool globale di ricercatori di sicurezza di talento, possiamo diagnosticare le vulnerabilità prima che possano essere identificate da attori malintenzionati per essere sfruttate.

Supportare la sicurezza Grammarly attraverso un programma di ricompense di bug

Un programma di ricompense dei bug invita gli hacker etici a rilevare le vulnerabilità del software e segnalarle direttamente all'azienda per la correzione. I ricercatori della sicurezza studiano il prodotto, compilano report sui bug rilevati e ricevono ricompense monetarie in base alla criticità del problema. Seguono linee guida rigorose per la ricerca etica sulla sicurezza che supportano i fornitori di software nel rimediare rapidamente a possibili minacce.

Grammarly si sforza di esplorare tutte le strade possibili per garantire la sicurezza del prodotto al massimo livello. Abbiamo selezionato HackerOne come nostra piattaforma con cui collaborare per un programma di ricompense di bug perché è una delle più grandi piattaforme incentrate sull'hacking etico e ospita una comunità di talento e rispettata con una formidabile esperienza di sicurezza informatica. Con oltre 300.000 hacker registrati, la piattaforma consente di scalare un programma globale di sorveglianza della vulnerabilità 24 ore su 24. Anche alcune delle aziende tecnologiche più grandi e importanti del mondo hanno collaborato con HackerOne.

Mantieni la tua scrittura al sicuro a Grammarly.
Manteniamo la sicurezza al centro dei nostri prodotti, infrastruttura e politiche aziendali.
Per saperne di più

Impostazione di un programma di successo

Per lanciare il nostro programma pubblico di ricompense dei bug di HackerOne, il team di sicurezza di Grammarly si è coordinato con i team dell'organizzazione di ingegneria per creare un insieme chiaro e dettagliato di regole che delineano come l'azienda può lavorare in modo produttivo con gli hacker. Ciò include le specifiche su quali vulnerabilità sono più cruciali per la comunità di HackerOne su cui concentrarsi, insieme ai requisiti per l'invio di report e premi. Puoi vedere le regole e le linee guida che chiariscono l'ambito e si concentrano sulla nostra pagina del programma HackerOne .

Per avere un forte programma di ricompense dei bug, ci impegniamo attivamente con la community. Ecco alcuni principi che il team di Grammarly tiene a mente:

  1. Manteniamo una comunicazione coerente: è essenziale rispondere agli hacker e chiedere loro informazioni sul loro lavoro. Anche se il team di HackerOne esegue i test preliminari, esaminiamo anche le opzioni rifiutate per assicurarci di rivedere tutti i feedback che potrebbero esserci utili per rafforzare la nostra posizione di sicurezza.
  2. Reagiamo rapidamente: la velocità è essenziale. In Grammarly, siamo orgogliosi di mantenere un punteggio estremamente alto per l'efficienza della risposta, vicino al 100%. È fondamentale rispettare il lavoro dei ricercatori, molti dei quali stanno facendo il lavoro per la cura del nostro prodotto e l'interesse a promuovere il software sicuro.
  3. Forniamo motivazioni oltre la retribuzione standard: Grammarly si assicura di fornire bonus monetari ai ricercatori che inviano rapporti di qualità, anche se non hanno ancora trovato vulnerabilità critiche, in modo che questi ricercatori rimangano coinvolti. Forniamo anche bonus ai ricercatori della sicurezza che non sono solo alla ricerca di singoli bug, ma stanno costruendo scenari di attacco complessi costituiti da diverse vulnerabilità. Vogliamo incoraggiare analisi complesse.

Garantire una rapida riparazione

Il nostro programma di ricompense dei bug di HackerOne ci aiuta a fornire un prodotto sicuro e protetto per tutti i nostri utenti e clienti. Fondamentale per raggiungere questo obiettivo è assicurarsi che il nostro team risponda prontamente ai rapporti dei ricercatori sulla sicurezza e quindi collabori con i team della nostra organizzazione di ingegneria per rimediare il più rapidamente possibile.

Per assicurarci di farlo, Grammarly mantiene un processo strutturato ufficiale per affrontare rapidamente qualsiasi vulnerabilità. Il nostro team di sicurezza gestisce tutti i rapporti in arrivo, indirizza il rapporto al team necessario e collabora con gli ingegneri per fornire l'input necessario e la gestione del progetto per risolvere i problemi.

Una volta risolta qualsiasi potenziale vulnerabilità, gli ingegneri di Grammarly devono essere in grado di fornire immediatamente la correzione a tutti gli utenti e clienti. Ecco perché manteniamo meccanismi di aggiornamento coerenti che tengono conto di tutti i requisiti di funzionalità, in modo che tutti i clienti possano fidarsi di avere sempre la versione più aggiornata e sicura delle nostre offerte di prodotti.

Basandosi sul successo della taglia di bug

Dal lancio nel 2018 del nostro programma di ricompense di bug pubblico su HackerOne, Grammarly ha visto un impegno straordinario da parte della comunità dei ricercatori di sicurezza. Ad oggi, abbiamo risolto quasi 150 segnalazioni e pagato più di $ 100.000 a 127 ricercatori. Le statistiche vengono continuamente raccolte sulla nostra pagina del programma HackerOne .

E continuiamo sempre a sviluppare il programma per concentrarci su nuove funzionalità e sviluppi di prodotto. Aggiungiamo bonus e altri incentivi per assicurarci che i ricercatori sulla sicurezza prestino attenzione a ciò che è più importante per i clienti Grammarly. Mentre continuiamo a sviluppare il nostro assistente di scrittura per supportare una comunicazione efficace ovunque le persone lavorino, ci impegniamo costantemente con la community di HackerOne per convincere i migliori ricercatori di sicurezza a fornire un controllo essenziale a livello di esperti.

Grammarly crede fermamente in questo programma. Facilita il nostro accesso alle migliori risorse per mitigare le vulnerabilità e respingere potenziali aggressori. Milioni di persone usano Grammarly ogni giorno e ogni utente dovrebbe essere in grado di fidarsi che il software sia il più sicuro e protetto possibile. Il programma di ricompense dei bug HackerOne di Grammarly ci supporta in questo sforzo.

Scopri di più sulle operazioni, le politiche, le pratiche e le attestazioni di sicurezza di Grammarly qui .