Как программа Grammarly HackerOne Bug Bounty снижает уязвимости системы безопасности и риски

В Grammarly мы считаем безопасность нашей первой и самой важной функцией продукта. Это лежит в основе того, как мы работаем как компания и как мы разрабатываем наш продукт. Частью этого является поддержание внутренних мер безопасности, от контроля операций и программы Security Champions до постоянного мониторинга приложений нашей специализированной командой безопасности. И с целью подтвердить доверие более чем 20 миллионов человек и 10 000 команд, которые мы обслуживаем каждый день, мы также считаем жизненно важным пойти дальше и инвестировать в высокоуровневую оценку рисков из сторонних источников.

Вот почему мы запускаем программу вознаграждения за ошибки с HackerOne, ведущей платформой безопасности, которая объединяет этичных хакеров для оценки проблем кибербезопасности всех видов. С момента запуска нашей общедоступной программы в 2018 году мы добились больших успехов в снижении риска инцидентов, связанных с безопасностью. Имея доступ к глобальному пулу талантливых исследователей в области безопасности, мы можем диагностировать уязвимости до того, как они будут идентифицированы злоумышленниками для использования.

Поддержка безопасности Grammarly с помощью программы вознаграждения за ошибки

Программа Bug Bounty предлагает этическим хакерам обнаруживать уязвимости в программном обеспечении и сообщать о них непосредственно в компанию для исправления. Исследователи безопасности изучают продукт, составляют отчеты об обнаруженных ошибках и получают денежное вознаграждение в зависимости от критичности проблемы. Они следуют строгим принципам этических исследований в области безопасности, которые помогают поставщикам программного обеспечения быстро устранять возможные угрозы.

Grammarly стремится использовать все возможные способы обеспечения безопасности продукта на самом высоком уровне. Мы выбрали HackerOne в качестве нашей платформы для участия в программе вознаграждения за обнаружение ошибок, потому что это одна из крупнейших платформ, ориентированных на этичный взлом, и в ней работает талантливое, уважаемое сообщество с огромным опытом в области кибербезопасности. С более чем 300 000 зарегистрированных хакеров платформа позволяет масштабировать глобальную программу наблюдения за уязвимостями круглосуточно. Некоторые из крупнейших и наиболее известных технологических компаний мира также сотрудничают с HackerOne.

Настройка успешной программы

Чтобы запустить нашу общедоступную программу вознаграждения за ошибки HackerOne, команда безопасности Grammarly координировала свои действия с командами инженерной организации, чтобы создать четкий и подробный набор правил, описывающих, как компания может продуктивно работать с хакерами. Это включает в себя спецификации того, какие уязвимости наиболее важны для сообщества HackerOne, а также требования к отправке отчетов и вознаграждений. Вы можете ознакомиться с правилами и рекомендациями, разъясняющими объем и фокус на нашей странице программы HackerOne .

Чтобы иметь сильную программу вознаграждения за обнаружение ошибок, мы активно взаимодействуем с сообществом. Вот несколько принципов, которые команда Grammarly держит в уме:

1. Мы поддерживаем постоянную связь: очень важно отвечать хакерам и спрашивать их об их работе. Несмотря на то, что команда HackerOne предварительно тестирует отчеты, мы также смотрим на отклоненные варианты, чтобы убедиться, что мы рассматриваем все отзывы, которые могут быть нам полезны для укрепления нашей системы безопасности.
2. Мы реагируем быстро: скорость имеет решающее значение. В Grammarly мы гордимся тем, что поддерживаем чрезвычайно высокий балл эффективности ответа — близкий к 100%. Крайне важно, чтобы мы уважали работу исследователей, многие из которых выполняют эту работу из заботы о нашем продукте и заинтересованности в продвижении безопасного программного обеспечения.
3. Мы обеспечиваем мотивацию помимо стандартного вознаграждения: Grammarly гарантирует денежные бонусы исследователям, которые присылают отчеты о качестве, даже если они еще не обнаружили критических уязвимостей, чтобы эти исследователи оставались вовлеченными. Мы также предоставляем бонусы исследователям безопасности, которые не просто ищут отдельные ошибки, а создают сложные сценарии атак, состоящие из нескольких уязвимостей. Мы хотим поощрять комплексный анализ.

Обеспечение быстрого восстановления

Наша программа поощрения ошибок HackerOne помогает нам предоставлять продукт, который является безопасным и надежным для всех наших пользователей и клиентов. Центральное место в достижении этой цели занимает обеспечение того, чтобы наша команда оперативно реагировала на отчеты исследователей безопасности, а затем сотрудничала с командами в нашей инженерной организации, чтобы исправить ситуацию как можно быстрее.

Чтобы убедиться, что мы делаем это, Grammarly поддерживает официальный структурированный процесс для быстрого устранения любых уязвимостей. Наша служба безопасности обрабатывает все поступающие отчеты, направляет отчеты в необходимую команду и сотрудничает с инженерами, чтобы предоставить необходимую информацию и управление проектами для решения проблем.

Как только мы решим любую потенциальную уязвимость, инженеры Grammarly должны иметь возможность немедленно предоставить исправление всем пользователям и клиентам. Вот почему мы поддерживаем согласованные механизмы обновления, которые учитывают все требования к функциональности, поэтому все клиенты могут быть уверены, что у них всегда есть самая последняя и безопасная версия наших продуктов.

Опираясь на успех Bug Bounty

С момента запуска в 2018 году нашей общедоступной программы поощрения ошибок на HackerOne Grammarly видит исключительную приверженность со стороны сообщества исследователей безопасности. На сегодняшний день мы рассмотрели почти 150 отчетов и выплатили более 100 000 долларов США 127 исследователям. Статистика постоянно собирается на нашей странице программы HackerOne .

И мы всегда продолжаем развивать программу, чтобы сосредоточиться на новых функциях и разработках продуктов. Мы добавляем бонусы и другие поощрения, чтобы исследователи безопасности обращали внимание на то, что наиболее важно для клиентов Grammarly. По мере того, как мы продолжаем развивать нашего помощника по письму для поддержки эффективного общения везде, где люди работают, мы постоянно взаимодействуем с сообществом HackerOne, чтобы привлечь ведущих исследователей безопасности для обеспечения необходимой проверки на уровне экспертов.

Grammarly твердо верит в эту программу. Это облегчает нам доступ к лучшим ресурсам для устранения уязвимостей и отражения любых потенциальных злоумышленников. Миллионы используют Grammarly каждый день, и каждый пользователь должен быть уверен, что программное обеспечение максимально безопасно и надежно. Программа Grammarly по поиску ошибок HackerOne поддерживает нас в этом начинании.

Узнайте больше об операциях, политиках, практиках и аттестациях безопасности Grammarly здесь .