Jak program nagród za błędy HackerOne firmy Grammarly zmniejsza luki w zabezpieczeniach i ryzyko

Opublikowany: 2020-09-15

W Grammarly uważamy bezpieczeństwo za pierwszą i najbardziej podstawową funkcję produktu. Leży u podstaw tego, jak działamy jako firma i jak rozwijamy nasz produkt. Częścią tego jest utrzymywanie wewnętrznych zabezpieczeń, począwszy od kontroli operacji i programu Mistrzów Bezpieczeństwa, po stałe monitorowanie aplikacji przez nasz wyspecjalizowany zespół ds. bezpieczeństwa. Mając na celu potwierdzenie zaufania ponad 20 milionów ludzi i 10 000 zespołów, którym codziennie służymy, uważamy również, że konieczne jest pójście dalej i inwestowanie w ocenę ryzyka wysokiego poziomu na podstawie źródeł zewnętrznych.

Dlatego też wspólnie z HackerOne, wiodącą platformą bezpieczeństwa, która zrzesza etycznych hakerów w celu oceny wszelkiego rodzaju problemów związanych z cyberbezpieczeństwem, prowadzimy program nagród za błędy. Od uruchomienia naszego programu publicznego w 2018 roku odnotowaliśmy ogromny sukces w zakresie naszej zdolności do zmniejszania ryzyka incydentów związanych z bezpieczeństwem. Mając dostęp do globalnej puli utalentowanych badaczy bezpieczeństwa, możemy diagnozować luki, zanim zostaną zidentyfikowane przez złośliwe podmioty w celu wykorzystania.

Wspieranie bezpieczeństwa gramatycznego poprzez program nagród za błędy

Program nagród za błędy zachęca etycznych hakerów do wykrywania luk w oprogramowaniu i zgłaszania ich bezpośrednio firmie w celu naprawy. Badacze zajmujący się bezpieczeństwem badają produkt, sporządzają raporty na temat wykrytych błędów i otrzymują nagrody pieniężne w zależności od wagi problemu. Przestrzegają ścisłych wytycznych dotyczących etycznych badań nad bezpieczeństwem, które pomagają dostawcom oprogramowania w szybkim usuwaniu ewentualnych zagrożeń.

Grammarly stara się eksplorować wszystkie możliwe drogi, aby zapewnić bezpieczeństwo produktów na najwyższym poziomie. Wybraliśmy HackerO ne jako naszą platformę do współpracy w ramach programu nagród za błędy, ponieważ jest to jedna z największych platform skupiających się na etycznym hakowaniu i hostująca utalentowaną, szanowaną społeczność posiadającą ogromną wiedzę specjalistyczną w zakresie cyberbezpieczeństwa. Platforma, licząca ponad 300 000 zarejestrowanych czerwonych hakerów, umożliwia skalowanie globalnego programu monitorowania luk w zabezpieczeniach przez całą dobę. Niektóre z największych i najbardziej znanych firm technologicznych na świecie również nawiązały współpracę z HackerOne.

Dbaj o bezpieczeństwo swojego pisania w Grammarly.
Bezpieczeństwo jest dla nas najważniejszym elementem naszych produktów, infrastruktury i zasad firmy.

Stworzenie skutecznego programu

Aby uruchomić nasz publiczny program nagród za błędy HackerOne, zespół ds. bezpieczeństwa firmy Grammarly współpracował z zespołami w całej organizacji inżynieryjnej w celu stworzenia jasnego i szczegółowego zestawu zasad określających, w jaki sposób firma może produktywnie współpracować z hakerami. Obejmuje to specyfikacje dotyczące luk, na których społeczność HackerOne powinna się skupić najbardziej, wraz z wymogami dotyczącymi przesyłania raportów i nagród. Zasady i wytyczne wyjaśniające zakres i skupienie można zobaczyć na naszej stronie programu HackerOne .

Aby mieć skuteczny program nagród za błędy, aktywnie współpracujemy ze społecznością. Oto kilka zasad, o których zespół Grammarly zawsze pamięta:

  1. Utrzymujemy spójną komunikację:istotne jest, aby reagować na ataki hakerów i pytać ich o ich pracę. Mimo że zespół HackerOne wstępnie testuje raporty, przyglądamy się również odrzuconym opcjom, aby upewnić się, że zapoznaliśmy się ze wszystkimi opiniami, które mogą być dla nas przydatne do wzmocnienia naszego stanu bezpieczeństwa.
  2. Reagujemy szybko:szybkość jest najważniejsza. W firmie Grammarly jesteśmy dumni z utrzymywania niezwykle wysokiego wyniku w zakresie skuteczności reakcji – bliskiego 100%. Niezwykle istotne jest, abyśmy szanowali pracę badaczy, z których wielu wykonuje tę pracę w trosce o nasz produkt i w interesie promowania bezpiecznego oprogramowania.
  3. Zapewniamy motywację wykraczającą poza standardowe wynagrodzenie:Grammarly zapewnia premie pieniężne badaczom, którzy przesyłają wysokiej jakości raporty — nawet jeśli nie znaleźli jeszcze krytycznych luk w zabezpieczeniach — dzięki czemu badacze pozostają zaangażowani. Zapewniamy także premie badaczom bezpieczeństwa, którzy nie szukają tylko pojedynczych błędów, ale budują złożone scenariusze ataków składające się z kilku luk. Chcemy zachęcać do kompleksowej analizy.

Zapewnienie szybkiej naprawy

Nasz program nagród za błędy HackerOne pomaga nam dostarczać produkt, który jest bezpieczny dla wszystkich naszych użytkowników i klientów. Kluczowe dla osiągnięcia tego celu jest zapewnienie, że nasz zespół szybko odpowie na raporty badaczy bezpieczeństwa, a następnie współpracuje z zespołami w całej naszej organizacji inżynieryjnej, aby jak najszybciej podjąć działania naprawcze.

Aby mieć pewność, że tak robimy, Grammarly prowadzi oficjalny, zorganizowany proces szybkiego usuwania wszelkich luk w zabezpieczeniach. Nasz zespół ds. bezpieczeństwa zarządza wszystkimi przychodzącymi raportami, kieruje je do niezbędnego zespołu i współpracuje z inżynierami, aby zapewnić niezbędny wkład i zarządzać projektem w celu rozwiązania problemów.

Po rozwiązaniu potencjalnej luki inżynierowie Grammarly muszą być w stanie natychmiast dostarczyć poprawkę wszystkim użytkownikom i klientom. Dlatego utrzymujemy spójne mechanizmy aktualizacji, które uwzględniają wszystkie wymagania funkcjonalne — aby wszyscy klienci mogli mieć pewność, że zawsze mają najbardziej aktualną i bezpieczną wersję naszej oferty produktów.

Opieramy się na sukcesie nagrody za błędy

Od czasu uruchomienia w 2018 roku naszego publicznego programu nagród za błędy w serwisie HackerOne firma Grammarly zaobserwowała niezwykłe zaangażowanie społeczności badaczy bezpieczeństwa. Do tej pory rozpatrzyliśmy prawie 150 raportów i zapłaciliśmy ponad 100 000 dolarów 127 badaczom. Statystyki są stale gromadzone na stronie naszego programu HackerOne .

Zawsze rozwijamy program, koncentrując się na nowych funkcjach i rozwoju produktów. Dodajemy premie i inne zachęty, aby mieć pewność, że badacze bezpieczeństwa zwracają uwagę na to, co najważniejsze dla klientów Grammarly. Kontynuując rozwój naszego asystenta pisania, aby wspierać efektywną komunikację wszędzie tam, gdzie ludzie pracują, konsekwentnie współpracujemy ze społecznością HackerOne, aby najlepsi badacze bezpieczeństwa zapewnili niezbędną kontrolę na poziomie eksperckim.

Grammarly mocno wierzy w ten program. Ułatwia nam dostęp do najlepszych zasobów w celu ograniczenia luk w zabezpieczeniach i odparcia potencjalnych atakujących. Miliony użytkowników korzystają z Grammarly każdego dnia — a każdy użytkownik powinien mieć pewność, że oprogramowanie jest tak bezpieczne, jak to tylko możliwe. Program nagród za błędy HackerOne firmy Grammarly wspiera nas w tym przedsięwzięciu.

Dowiedz się więcej o operacjach, zasadach, praktykach i atestach dotyczących zabezpieczeń gramatycznych tutaj .