Как программа Grammarly HackerOne Bug Bounty снижает уязвимости и риски безопасности

Опубликовано: 2020-09-15

В Grammarly мы считаем безопасность нашей первой и самой основополагающей функцией продукта. Это лежит в основе того, как мы работаем как компания и как мы разрабатываем наш продукт. Частью этого является поддержание внутренних мер безопасности: от контроля операций и программы Security Champions до постоянного мониторинга приложений нашей специализированной командой безопасности. И чтобы подтвердить доверие более чем 20 миллионов человек и 10 000 команд, которые мы обслуживаем каждый день, мы также считаем, что жизненно важно идти дальше и инвестировать в высокоуровневую оценку рисков из сторонних источников.

Вот почему мы запускаем программу вознаграждения за обнаружение ошибок совместно с HackerOne, ведущей платформой безопасности, которая объединяет этических хакеров для оценки всех видов проблем кибербезопасности. С момента запуска нашей публичной программы в 2018 году мы добились больших успехов в снижении риска инцидентов безопасности. Имея доступ к глобальному пулу талантливых исследователей безопасности, мы можем диагностировать уязвимости до того, как они будут обнаружены злоумышленниками для использования.

Поддержка безопасности Grammarly с помощью программы вознаграждения за ошибки

Программа вознаграждения за обнаружение ошибок приглашает этических хакеров обнаруживать уязвимости программного обеспечения и сообщать о них непосредственно компании для устранения. Исследователи безопасности изучают продукт, составляют отчеты об обнаруженных ошибках и получают денежное вознаграждение в зависимости от критичности проблемы. Они следуют строгим правилам этических исследований безопасности, которые помогают поставщикам программного обеспечения быстро устранять возможные угрозы.

Grammarly стремится изучить все возможные пути обеспечения безопасности продукта на самом высоком уровне. Мы выбрали HackerO ne в качестве нашей платформы для партнерства по программе вознаграждения за обнаружение ошибок, поскольку это одна из крупнейших платформ, ориентированных на этический взлом, и в которой работает талантливое, уважаемое сообщество с огромным опытом в области кибербезопасности. Благодаря более чем 300 000 зарегистрированным красным хакерам платформа позволяет круглосуточно масштабировать глобальную программу наблюдения за уязвимостями. Некоторые из крупнейших и наиболее известных технологических компаний мира также сотрудничают с HackerOne.

Обеспечьте безопасность вашего письма в Grammarly.
Мы держим безопасность в центре наших продуктов, инфраструктуры и политики компании.

Настройка успешной программы

Чтобы запустить нашу общедоступную программу вознаграждений за обнаружение ошибок HackerOne, команда безопасности Grammarly координировала свои действия с командами инженерной организации, чтобы создать четкий и подробный набор правил, описывающих, как компания может продуктивно работать с хакерами. Сюда входят спецификации о том, какие уязвимости наиболее важны для сообщества HackerOne, а также требования к отправке отчетов и вознаграждениям. Вы можете ознакомиться с правилами и рекомендациями, которые уточняют сферу деятельности и фокус, на нашей странице программы HackerOne .

Чтобы иметь сильную программу вознаграждения за обнаружение ошибок, мы активно взаимодействуем с сообществом. Вот несколько принципов, о которых команда Grammarly всегда заботится:

  1. Мы поддерживаем постоянную связь:очень важно отвечать хакерам и спрашивать их об их работе. Несмотря на то, что команда HackerOne проводит предварительное тестирование отчетов, мы также рассматриваем отклоненные варианты, чтобы убедиться, что мы проверяем все отзывы, которые могут быть полезны для нас для укрепления нашей безопасности.
  2. Мы реагируем быстро:скорость имеет решающее значение. В Grammarly мы гордимся тем, что поддерживаем чрезвычайно высокий показатель эффективности реагирования — близкий к 100%. Крайне важно, чтобы мы уважали работу исследователей, многие из которых делают эту работу из заботы о нашем продукте и интереса к продвижению безопасного программного обеспечения.
  3. Мы обеспечиваем мотивацию, выходящую за рамки стандартного вознаграждения:Grammarly обеспечивает денежные бонусы исследователям, которые присылают качественные отчеты (даже если они еще не нашли критических уязвимостей), чтобы эти исследователи продолжали участвовать. Мы также предоставляем бонусы исследователям безопасности, которые не просто ищут отдельные ошибки, но создают сложные сценарии атак, состоящие из нескольких уязвимостей. Мы хотим поощрять комплексный анализ.

Обеспечение быстрого устранения проблем

Наша программа вознаграждения за обнаружение ошибок HackerOne помогает нам предоставлять продукт, который безопасен и надежен для всех наших пользователей и клиентов. Центральное значение для достижения этой цели имеет обеспечение того, чтобы наша команда оперативно реагировала на отчеты исследователей безопасности, а затем работала с командами всей нашей инженерной организации, чтобы исправить ситуацию как можно быстрее.

Чтобы гарантировать это, Grammarly поддерживает официальный структурированный процесс для быстрого устранения любых уязвимостей. Наша команда безопасности управляет всеми входящими отчетами, направляет отчет необходимой команде и сотрудничает с инженерами для предоставления необходимых данных и управления проектом для решения проблем.

Как только мы устраним любую потенциальную уязвимость, инженеры Grammarly смогут немедленно доставить исправление всем пользователям и клиентам. Вот почему мы поддерживаем согласованные механизмы обновления, учитывающие все требования к функциональности, чтобы все клиенты могли быть уверены, что у них всегда есть самая актуальная и безопасная версия наших продуктов.

Опираясь на успех программы «Bug Bounty»

С момента запуска нашей публичной программы вознаграждения за обнаружение ошибок на HackerOne в 2018 году Grammarly заметила исключительную поддержку со стороны сообщества исследователей безопасности. На сегодняшний день мы разрешили почти 150 отчетов и выплатили более 100 000 долларов США 127 исследователям. Статистика постоянно собирается на нашей странице программы HackerOne .

И мы постоянно продолжаем развивать программу, уделяя особое внимание новым функциям и разработкам продуктов. Мы добавляем бонусы и другие стимулы, чтобы исследователи в области безопасности обращали внимание на то, что наиболее важно для клиентов Grammarly. Продолжая развивать нашего помощника по письму для поддержки эффективного общения везде, где бы люди ни работали, мы постоянно взаимодействуем с сообществом HackerOne, чтобы привлечь ведущих исследователей безопасности для обеспечения необходимой проверки на экспертном уровне.

Grammarly твердо верит в эту программу. Это облегчает нам доступ к лучшим ресурсам для устранения уязвимостей и отражения любых потенциальных злоумышленников. Миллионы людей используют Grammarly каждый день, и каждый пользователь должен быть уверен, что программное обеспечение максимально безопасно и надежно. Программа вознаграждения за ошибки Grammarly HackerOne поддерживает нас в этом начинании.

Узнайте больше об операциях, политиках, практиках и аттестациях безопасности Grammarly здесь .