Cum programul HackerOne Bug Bounty de la Grammarly reduce vulnerabilitățile și riscurile de securitate

Publicat: 2020-09-15

La Grammarly, considerăm securitatea noastră prima și cea mai fundamentală caracteristică a produsului. Este în centrul modului în care funcționăm ca companie și al modului în care ne dezvoltăm produsul. O parte din aceasta este menținerea garanțiilor interne, de la controale operaționale și un program de campioni ai securității până la monitorizarea constantă a aplicațiilor de către echipa noastră specializată de securitate. Și cu scopul de a valida încrederea celor peste 20 de milioane de oameni și a 10.000 de echipe pe care le deservim în fiecare zi, credem, de asemenea, că este vital să mergem mai departe și să investim în evaluarea riscului la nivel înalt din surse terțe.

De aceea, derulăm un program de recompensă pentru erori cu HackerOne, o platformă de securitate de top care reunește hackeri etici pentru a evalua problemele de securitate cibernetică de toate tipurile. De la lansarea programului nostru public în 2018, am înregistrat un mare succes în capacitatea noastră de a reduce riscul incidentelor de securitate. Având acces la un grup global de cercetători talentați în domeniul securității, putem diagnostica vulnerabilitățile înainte ca acestea să fie identificate de actori rău intenționați pentru a fi exploatate.

Sprijinirea securității Grammarly printr-un program de recompensă pentru erori

Un program de recompensă pentru erori invită hackerii etici să detecteze vulnerabilitățile software și să le raporteze direct companiei pentru remediere. Cercetătorii în domeniul securității studiază produsul, întocmesc rapoarte privind erorile detectate și primesc recompense monetare în funcție de criticitatea problemei. Ei urmează linii directoare stricte pentru cercetarea securității etice care sprijină furnizorii de software în remedierea rapidă a posibilelor amenințări.

Grammarly se străduiește să exploreze toate căile posibile pentru a asigura securitatea produsului la cel mai înalt nivel. Am selectat HackerO ne ca platformă cu care să ne asociam pentru un program de recompense pentru erori, deoarece este una dintre cele mai mari platforme axate pe hacking etic și găzduiește o comunitate talentată, respectată, cu o expertiză formidabilă în securitate cibernetică. Cu peste 300.000 de hackeri roșii înregistrați, platforma permite scalarea unui program global de monitorizare a vulnerabilităților non-stop. Unele dintre cele mai mari și mai notabile companii tehnologice din lume au colaborat și cu HackerOne.

Păstrarea scrisului în siguranță la Grammarly.
Păstrăm securitatea în centrul politicilor noastre de produs, infrastructură și companie.

Configurarea unui program de succes

Pentru a lansa programul nostru public de recompensă pentru erori HackerOne, echipa de securitate a Grammarly a coordonat cu echipe din întreaga organizație de inginerie pentru a crea un set clar și detaliat de reguli care descriu modul în care compania poate lucra productiv cu hackerii. Aceasta include specificații despre vulnerabilitățile pe care comunitatea HackerOne trebuie să se concentreze cel mai mult, împreună cu cerințe pentru trimiterea de rapoarte și recompense. Puteți vedea regulile și liniile directoare care clarifică domeniul de aplicare și se concentrează pe pagina programului nostru HackerOne .

Pentru a avea un program puternic de recompense pentru erori, ne angajăm activ cu comunitatea. Iată câteva principii pe care echipa Grammarly le ține cont:

  1. Menținem o comunicare consecventă:este esențial să răspundem hackerilor și să îi întrebăm despre munca lor. Chiar dacă echipa HackerOne testează în prealabil rapoartele, ne uităm și la opțiunile respinse pentru a ne asigura că examinăm toate feedback-urile care ne pot fi utile pentru a ne consolida postura de securitate.
  2. Reacționăm rapid:viteza este esențială. La Grammarly, ne mândrim să menținem un scor extrem de ridicat pentru eficiența răspunsului – aproape de 100%. Este esențial să respectăm munca cercetătorilor, dintre care mulți o fac din grija pentru produsul nostru și din interesul de a promova software-ul securizat.
  3. Oferim motivație dincolo de remunerația standard:Grammarly se asigură că oferă bonusuri bănești cercetătorilor care trimit rapoarte de calitate – chiar dacă nu au găsit încă vulnerabilități critice – astfel încât acești cercetători să rămână implicați. Oferim, de asemenea, bonusuri cercetătorilor de securitate care nu caută doar erori individuale, ci construiesc scenarii complexe de atac, constând din mai multe vulnerabilități. Vrem să încurajăm analiza complexă.

Asigurarea remedierii rapide

Programul nostru de recompensă pentru erori HackerOne ne ajută să oferim un produs sigur și sigur pentru toți utilizatorii și clienții noștri. Esențial pentru atingerea acestui obiectiv este să ne asigurăm că echipa noastră răspunde prompt la rapoartele cercetătorilor de securitate și apoi colaborează cu echipele din organizația noastră de inginerie pentru a remedia cât mai repede posibil.

Pentru a ne asigura că facem acest lucru, Grammarly menține un proces oficial, structurat, pentru a aborda rapid orice vulnerabilități. Echipa noastră de securitate gestionează toate rapoartele primite, direcționează raportul către echipa necesară și colaborează cu inginerii pentru a furniza informațiile necesare și managementul de proiect pentru a rezolva problemele.

Odată ce rezolvăm orice potențială vulnerabilitate, inginerii Grammarly trebuie să poată livra imediat soluția tuturor utilizatorilor și clienților. De aceea, menținem mecanisme de actualizare consecvente care țin cont de toate cerințele de funcționalitate, astfel încât toți clienții să aibă încredere că au întotdeauna cea mai actualizată și sigură versiune a ofertelor noastre de produse.

Bazându-se pe succesul recompenselor de erori

De la lansarea în 2018 a programului nostru public de recompense pentru erori pe HackerOne, Grammarly a cunoscut un angajament extraordinar din partea comunității cercetătorilor de securitate. Până în prezent, am rezolvat aproape 150 de rapoarte și am plătit peste 100.000 USD către 127 de cercetători. Statisticile sunt colectate continuu pe pagina programului nostru HackerOne .

Și continuăm mereu să dezvoltăm programul pentru a se concentra pe noi funcții și dezvoltări de produse. Adăugăm bonusuri și alte stimulente pentru a ne asigura că cercetătorii de securitate acordă atenție la ceea ce este cel mai important pentru clienții Grammarly. Pe măsură ce continuăm să ne dezvoltăm asistentul de scriere pentru a sprijini comunicarea eficientă oriunde lucrează oamenii, colaborăm constant cu comunitatea HackerOne pentru a-i determina pe cei mai buni cercetători în domeniul securității să ofere un control esențial la nivel de experți.

Grammarly crede cu tărie în acest program. Ne facilitează accesul la cele mai bune resurse pentru a atenua vulnerabilitățile și pentru a evita potențialii atacatori. Milioane folosesc Grammarly în fiecare zi – și fiecare utilizator ar trebui să aibă încredere că software-ul este cât mai sigur și securizat posibil. Programul de recompensă pentru erori HackerOne de la Grammarly ne sprijină în acest demers.

Aflați mai multe despre operațiunile, politicile, practicile și atestările Grammarly aici .