Grammarly의 HackerOne 버그 바운티 프로그램이 보안 취약성과 위험을 줄이는 방법

Grammarly에서는 보안을 첫 번째이자 가장 기본적인 제품 기능으로 간주합니다. 이는 우리가 회사로서 운영하는 방식과 제품을 개발하는 방식의 핵심입니다. 그 중 일부는 운영 제어 및 보안 챔피언 프로그램부터 전문 보안 팀의 지속적인 애플리케이션 모니터링에 이르기까지 내부 보호 장치를 유지하는 것입니다. 그리고 우리가 매일 서비스를 제공하는 2천만 명 이상의 직원과 10,000개 팀의 신뢰를 검증한다는 목표를 가지고 더 나아가 제3자 소스의 높은 수준의 위험 평가에 투자하는 것도 중요하다고 믿습니다.

이것이 바로 우리가 윤리적인 해커들을 모아 모든 종류의 사이버 보안 문제를 평가하는 선도적인 보안 플랫폼인 HackerOne과 함께 버그 포상금 프로그램을 운영하는 이유입니다. 2018년에 공개 프로그램을 시작한 이후 우리는 보안 사고 위험을 줄이는 능력에서 큰 성공을 거두었습니다. 전 세계의 유능한 보안 연구원 풀에 접근하여 악의적인 행위자가 악용하기 전에 취약점을 진단할 수 있습니다.

버그 보상 프로그램을 통해 Grammarly 보안 지원

버그 포상금 프로그램은 윤리적인 해커를 초대하여 소프트웨어 취약점을 탐지하고 수정을 위해 회사에 직접 보고하도록 합니다. 보안 연구원은 제품을 연구하고, 발견된 버그에 대한 보고서를 작성하고, 문제의 심각도에 따라 금전적 보상을 받습니다. 그들은 소프트웨어 제공업체가 가능한 위협을 신속하게 해결하도록 지원하는 윤리적인 보안 연구에 대한 엄격한 지침을 따릅니다.

Grammarly는 최고 수준의 제품 보안을 보장하기 위해 가능한 모든 방법을 모색하기 위해 노력하고 있습니다. 우리는 HackerO ne를 버그 포상금 프로그램을 위한 파트너 플랫폼으로 선택했습니다. 왜냐하면 이 플랫폼은 윤리적 해킹에 초점을 맞춘 가장 큰 플랫폼 중 하나이고 강력한 사이버 보안 전문 지식을 갖춘 유능하고 존경받는 커뮤니티를 호스팅하고 있기 때문입니다. 300,000명 이상의 등록된 레드 해커가 있는 이 플랫폼을 통해 24시간 내내 글로벌 취약성 감시 프로그램을 확장할 수 있습니다. 세계에서 가장 크고 주목할만한 일부 기술 회사도 HackerOne과 파트너십을 맺었습니다.

성공적인 프로그램 설정

공개 HackerOne 버그 현상금 프로그램을 시작하기 위해 Grammarly의 보안 팀은 엔지니어링 조직 전체의 팀과 협력하여 회사가 해커와 생산적으로 협력할 수 있는 방법을 설명하는 명확하고 자세한 규칙 세트를 만들었습니다. 여기에는 보고서 및 보상 제출 요구 사항과 함께 HackerOne 커뮤니티가 집중해야 할 가장 중요한 취약점에 대한 사양이 포함됩니다. HackerOne 프로그램 페이지 에서 범위와 초점을 명확히 하는 규칙과 지침을 볼 수 있습니다 .

강력한 버그 보상 프로그램을 갖기 위해 우리는 커뮤니티에 적극적으로 참여합니다. 다음은 Grammarly 팀이 염두에 두고 있는 몇 가지 원칙입니다.

1. 우리는 일관된 의사소통을 유지합니다.해커에게 대응하고 그들의 작업에 대해 물어보는 것은 필수적입니다. HackerOne 팀은 보고서를 사전 테스트하지만 거부된 옵션도 검토하여 보안 태세를 강화하는 데 유용할 수 있는 모든 피드백을 검토하고 있는지 확인합니다.
2. 우리는 신속하게 대응합니다.속도가 핵심입니다. Grammarly에서는 응답 효율성에 대해 100%에 가까운 매우 높은 점수를 유지하는 것을 자랑스럽게 생각합니다. 우리는 우리 제품에 대한 관심과 보안 소프트웨어 홍보에 관심을 갖고 연구를 수행하는 연구자들의 작업을 존중하는 것이 중요합니다.
3. 우리는 표준 보상 이상의 동기 부여를 제공합니다.Grammarly는 품질 보고서를 보낸 연구자들에게 금전적 보너스를 제공합니다. 비록 그들이 아직 심각한 취약점을 발견하지 못했더라도 이러한 연구자들이 계속해서 참여할 수 있도록 합니다. 또한 개별 버그를 찾는 것뿐만 아니라 여러 취약점으로 구성된 복잡한 공격 시나리오를 구축하는 보안 연구원에게도 보너스를 제공합니다. 우리는 복잡한 분석을 장려하고 싶습니다.

신속한 해결 보장

HackerOne 버그 현상금 프로그램은 모든 사용자와 고객에게 안전하고 보안이 유지되는 제품을 제공하는 데 도움이 됩니다. 이 목표를 달성하는 데 핵심은 우리 팀이 보안 연구원의 보고에 신속하게 응답하고 엔지니어링 조직 전체의 팀과 협력하여 가능한 한 빨리 문제를 해결하도록 하는 것입니다.

이를 보장하기 위해 Grammarly는 모든 취약점을 신속하게 해결하기 위한 공식적이고 구조화된 프로세스를 유지합니다. 우리의 보안 팀은 들어오는 모든 보고서를 관리하고, 보고서를 필요한 팀에 전달하고, 엔지니어와 협력하여 문제 해결에 필요한 입력 및 프로젝트 관리를 제공합니다.

잠재적인 취약점을 해결한 후 Grammarly의 엔지니어는 즉시 모든 사용자와 고객에게 수정 사항을 제공할 수 있어야 합니다. 이것이 바로 우리가 모든 기능 요구 사항을 염두에 두고 일관된 업데이트 메커니즘을 유지하는 이유입니다. 따라서 모든 고객은 항상 가장 안전한 최신 버전의 제품을 보유하고 있다고 신뢰할 수 있습니다.

버그 현상금 성공을 기반으로 구축

2018년 HackerOne에서 공개 버그 현상금 프로그램을 출시한 이후 Grammarly는 보안 연구원 커뮤니티의 특별한 헌신을 보았습니다. 현재까지 우리는 거의 150개의 보고서를 해결했으며 127명의 연구원에게 100,000달러 이상을 지불했습니다. 통계는 HackerOne 프로그램 페이지 에서 지속적으로 수집됩니다 .

그리고 우리는 항상 새로운 기능과 제품 개발에 초점을 맞춰 프로그램을 계속 개발하고 있습니다. 보안 연구원이 Grammarly 고객에게 가장 중요한 사항에 주의를 기울일 수 있도록 보너스와 기타 인센티브를 추가합니다. 우리는 사람들이 일하는 모든 곳에서 효과적인 의사소통을 지원하기 위해 글쓰기 도우미를 계속 개발하면서 HackerOne 커뮤니티와 지속적으로 협력하여 최고의 보안 연구원들이 필수적인 전문가 수준의 조사를 제공할 수 있도록 하고 있습니다.

Grammarly는 이 프로그램을 강력하게 믿습니다. 이는 취약점을 완화하고 잠재적인 공격자를 방어할 수 있는 최고의 리소스에 대한 액세스를 용이하게 합니다. 수백만 명이 매일 Grammarly를 사용하며 각 사용자는 소프트웨어가 최대한 안전하고 안전하다는 것을 신뢰할 수 있어야 합니다. Grammarly의 HackerOne 버그 현상금 프로그램은 이러한 노력을 지원합니다.

여기에서 Grammarly 보안 운영, 정책, 관행 및 증명에 대해 자세히 알아보세요 .