Como o programa de recompensas de bugs HackerOne da Grammarly reduz vulnerabilidades e riscos de segurança

Publicados: 2020-09-15

Na Grammarly, consideramos a segurança nosso primeiro e mais fundamental recurso de produto. Está no centro de como operamos como empresa e como desenvolvemos nosso produto. Parte disso é manter as salvaguardas internas, desde controles operacionais e um programa Security Champions até o monitoramento constante de aplicativos por nossa equipe especializada de Segurança. E com o objetivo de validar a confiança de mais de 20 milhões de pessoas e 10.000 equipes que atendemos todos os dias, também acreditamos que é vital ir mais longe e investir em avaliação de risco de alto nível de fontes de terceiros.

É por isso que executamos um programa de recompensas por bugs com o HackerOne, uma plataforma de segurança líder que reúne hackers éticos para avaliar problemas de segurança cibernética de todos os tipos. Desde o lançamento de nosso programa público em 2018, obtivemos grande sucesso em nossa capacidade de reduzir o risco de incidentes de segurança. Com acesso a um grupo global de pesquisadores de segurança talentosos, podemos diagnosticar vulnerabilidades antes que possam ser identificadas por agentes mal-intencionados a serem explorados.

Oferecendo suporte à segurança do Grammarly por meio de um programa de recompensas de bugs

Um programa de recompensas por bugs convida hackers éticos a detectar vulnerabilidades de software e relatá-las diretamente à empresa para correção. Pesquisadores de segurança estudam o produto, compilam relatórios sobre bugs detectados e recebem recompensas monetárias de acordo com a gravidade do problema. Eles seguem diretrizes rígidas para pesquisas de segurança ética que apoiam os fornecedores de software na correção rápida de possíveis ameaças.

A Grammarly se esforça para explorar todos os caminhos possíveis para garantir a segurança do produto no mais alto nível. Selecionamos o HackerO ne como nossa plataforma de parceria para um programa de recompensas de bugs porque é uma das maiores plataformas focadas em hackers éticos e hospeda uma comunidade talentosa e respeitada com formidável experiência em segurança cibernética. Com mais de 300.000 hackers vermelhos registrados, a plataforma permite escalar um programa global de observação de vulnerabilidades 24 horas por dia. Algumas das maiores e mais notáveis ​​empresas de tecnologia do mundo também fizeram parceria com o HackerOne.

Mantendo sua escrita segura na Grammarly.
Mantemos a segurança no centro de nosso produto, infraestrutura e políticas da empresa.
Saber mais

Configurando um programa de sucesso

Para lançar nosso programa público de recompensas por bugs HackerOne, a equipe de segurança da Grammarly coordenou com equipes de toda a organização de engenharia para criar um conjunto claro e detalhado de regras descrevendo como a empresa pode trabalhar de forma produtiva com hackers. Isso inclui especificações sobre quais vulnerabilidades são mais cruciais para a comunidade HackerOne se concentrar, além de requisitos para enviar relatórios e recompensas. Você pode ver as regras e diretrizes que esclarecem o escopo e o foco em nossa página do programa HackerOne .

Para ter um forte programa de recompensas por bugs, nos envolvemos ativamente com a comunidade. Aqui estão alguns princípios que a equipe do Grammarly mantém em mente:

  1. Mantemos uma comunicação consistente: é essencial responder aos hackers e perguntar sobre seu trabalho. Embora a equipe do HackerOne pré-teste os relatórios, também analisamos as opções rejeitadas para garantir que estamos analisando todos os comentários que podem ser úteis para fortalecer nossa postura de segurança.
  2. Reagimos rapidamente: a velocidade é essencial. Na Grammarly, nos orgulhamos de manter uma pontuação extremamente alta para eficiência de resposta - perto de 100%. É vital que respeitemos o trabalho dos pesquisadores, muitos dos quais estão fazendo o trabalho por cuidado com nosso produto e interesse em promover software seguro.
  3. Fornecemos motivação além da remuneração padrão: a Grammarly garante bônus monetários aos pesquisadores que enviam relatórios de qualidade - mesmo que ainda não tenham encontrado vulnerabilidades críticas - para que esses pesquisadores permaneçam engajados. Também fornecemos bônus para pesquisadores de segurança que não estão apenas procurando por bugs individuais, mas estão criando cenários de ataque complexos que consistem em várias vulnerabilidades. Queremos encorajar análises complexas.

Garantindo uma correção rápida

Nosso programa de recompensas por bugs HackerOne nos ajuda a entregar um produto seguro e protegido para todos os nossos usuários e clientes. O essencial para atingir esse objetivo é garantir que nossa equipe responda prontamente aos relatórios de pesquisadores de segurança e, em seguida, trabalhe com equipes em toda a nossa organização de engenharia para corrigir o mais rápido possível.

Para garantir que estamos fazendo isso, a Grammarly mantém um processo oficial e estruturado para resolver rapidamente quaisquer vulnerabilidades. Nossa equipe de segurança gerencia todos os relatórios recebidos, direciona o relatório para a equipe necessária e colabora com os engenheiros para fornecer a entrada necessária e o gerenciamento de projetos para resolver problemas.

Assim que resolvermos qualquer vulnerabilidade em potencial, os engenheiros da Grammarly precisam ser capazes de fornecer a correção a todos os usuários e clientes imediatamente. É por isso que mantemos mecanismos de atualização consistentes que levam em conta todos os requisitos de funcionalidade, para que todos os clientes possam confiar que sempre terão a versão mais atualizada e segura de nossas ofertas de produtos.

Aproveitando o sucesso da recompensa de bugs

Desde o lançamento em 2018 do nosso programa público de recompensas por bugs no HackerOne, a Grammarly tem visto um compromisso extraordinário da comunidade de pesquisadores de segurança. Até o momento, resolvemos quase 150 relatórios e pagamos mais de US$ 100.000 a 127 pesquisadores. As estatísticas são coletadas continuamente em nossa página do programa HackerOne .

E estamos sempre desenvolvendo o programa para focar em novos recursos e desenvolvimentos de produtos. Adicionamos bônus e outros incentivos para garantir que os pesquisadores de segurança estejam atentos ao que é mais importante para os clientes da Grammarly. À medida que continuamos a desenvolver nosso assistente de redação para oferecer suporte à comunicação eficaz em todos os lugares em que as pessoas trabalham, estamos nos envolvendo consistentemente com a comunidade HackerOne para obter os principais pesquisadores de segurança para fornecer uma análise essencial de nível especializado.

Grammarly acredita fortemente neste programa. Ele facilita nosso acesso aos melhores recursos para mitigar vulnerabilidades e afastar possíveis invasores. Milhões usam o Grammarly todos os dias – e cada usuário deve poder confiar que o software é o mais seguro e protegido possível. O programa de recompensas de bugs HackerOne da Grammarly nos apoia nessa empreitada.

Saiba mais sobre as operações, políticas, práticas e atestados de segurança da Grammarly aqui .