โปรแกรม HackerOne Bug Bounty ของ Grammarly ช่วยลดความเสี่ยงและความเสี่ยงด้านความปลอดภัยได้อย่างไร
เผยแพร่แล้ว: 2020-09-15ที่ Grammarly เราคำนึงถึงความปลอดภัยเป็นคุณสมบัติแรกและเป็นพื้นฐานที่สุดของเรา หัวใจสำคัญของวิธีการดำเนินธุรกิจของบริษัทและวิธีการพัฒนาผลิตภัณฑ์ของเรา ส่วนหนึ่งของสิ่งนี้คือการรักษาการป้องกันภายใน ตั้งแต่การควบคุมการปฏิบัติงานและโปรแกรม Security Champions ไปจนถึงการตรวจสอบแอปพลิเคชันอย่างต่อเนื่องโดยทีมรักษาความปลอดภัยเฉพาะทางของเรา และด้วยเป้าหมายในการตรวจสอบความไว้วางใจของผู้คนมากกว่า 20 ล้านคนและ 10,000 ทีมที่เราให้บริการทุกวัน เรายัง เชื่อว่าการก้าวต่อไปเป็นสิ่งสำคัญและลงทุนในการประเมินความเสี่ยงระดับสูงจากแหล่งบุคคลที่สาม
นั่นเป็นเหตุผลที่เรารันโปรแกรมรางวัลบั๊กกับ HackerOne ซึ่งเป็นแพลตฟอร์มความปลอดภัยชั้นนำที่รวบรวมแฮกเกอร์ที่มีจริยธรรมเพื่อประเมินปัญหาความปลอดภัยทางไซเบอร์ทุกประเภท นับตั้งแต่เปิดตัวโปรแกรมสาธารณะของเราในปี 2018 เราได้เห็นความสำเร็จอย่างมากในความสามารถของเราในการลดความเสี่ยงของเหตุการณ์ด้านความปลอดภัย ด้วยการเข้าถึงกลุ่มนักวิจัยด้านความปลอดภัยที่มีความสามารถทั่วโลก เราจึงสามารถวินิจฉัยช่องโหว่ก่อนที่จะถูกระบุโดยผู้ไม่ประสงค์ดีที่จะนำไปใช้ประโยชน์
สนับสนุนความปลอดภัยทางไวยากรณ์ผ่านโปรแกรมรางวัลข้อบกพร่อง
โปรแกรม Bug Bounty เชิญชวนแฮกเกอร์ที่มีจริยธรรมให้ตรวจจับช่องโหว่ของซอฟต์แวร์และรายงานช่องโหว่ดังกล่าวไปยังบริษัทโดยตรงเพื่อทำการแก้ไข นักวิจัยด้านความปลอดภัยศึกษาผลิตภัณฑ์ รวบรวมรายงานเกี่ยวกับจุดบกพร่องที่ตรวจพบ และรับรางวัลเป็นเงินตามระดับวิกฤตของปัญหา พวกเขาปฏิบัติตามแนวทางที่เข้มงวดสำหรับการวิจัยความปลอดภัยด้านจริยธรรมที่สนับสนุนผู้ให้บริการซอฟต์แวร์ในการแก้ไขภัยคุกคามที่อาจเกิดขึ้นได้อย่างรวดเร็ว
Grammarly มุ่งมั่นที่จะสำรวจช่องทางที่เป็นไปได้ทั้งหมดเพื่อให้มั่นใจถึงความปลอดภัยของผลิตภัณฑ์ในระดับสูงสุด เราเลือก HackerO ne เป็นแพลตฟอร์มของเราในการเป็นพันธมิตรกับโปรแกรม Bug Bounty เนื่องจากเป็นหนึ่งในแพลตฟอร์มที่ใหญ่ที่สุดที่มุ่งเน้นไปที่การแฮ็กอย่างมีจริยธรรม และเป็นโฮสต์ของชุมชนที่มีความสามารถและเป็นที่เคารพซึ่งมีความเชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ที่น่าเกรงขาม ด้วยจำนวนแฮกเกอร์สีแดงที่ลงทะเบียนมากกว่า 300,000 ราย แพลตฟอร์มดังกล่าวช่วยให้สามารถปรับขนาดโปรแกรมเฝ้าระวังช่องโหว่ทั่วโลกได้ตลอดเวลา บริษัทเทคโนโลยีที่ใหญ่ที่สุดและมีชื่อเสียงที่สุดของโลกบางแห่งได้ร่วมมือกับ HackerOne เช่นกัน
การตั้งโปรแกรมให้ประสบความสำเร็จ
ในการเปิดตัวโปรแกรมรางวัล Bug Bounty ของ HackerOne สาธารณะ ทีมรักษาความปลอดภัยของ Grammarly ได้ประสานงานกับทีมงานทั่วทั้งองค์กรด้านวิศวกรรมเพื่อสร้างชุดกฎที่ชัดเจนและมีรายละเอียด ซึ่งสรุปว่าบริษัทสามารถทำงานร่วมกับแฮ็กเกอร์ได้อย่างมีประสิทธิผลได้อย่างไร ซึ่งรวมถึงข้อกำหนดเกี่ยวกับช่องโหว่ที่สำคัญที่สุดสำหรับชุมชน HackerOne ที่ต้องให้ความสำคัญ พร้อมด้วยข้อกำหนดในการส่งรายงานและรางวัล คุณสามารถดูกฎและแนวปฏิบัติที่ชี้แจงขอบเขตและมุ่งเน้นที่ หน้าโปรแกรม HackerOne ของ เรา
เพื่อให้มีโปรแกรม Bug Bounty ที่แข็งแกร่ง เราจึงมีส่วนร่วมอย่างแข็งขันกับชุมชน ต่อไปนี้เป็นหลักการบางประการที่ทีม Grammarly คำนึงถึงเป็นอันดับแรก:
- เรารักษาการสื่อสารที่สอดคล้องกัน:การตอบสนองต่อแฮกเกอร์และถามพวกเขาเกี่ยวกับงานของพวกเขาถือเป็นสิ่งสำคัญ แม้ว่าทีม HackerOne จะทดสอบรายงานล่วงหน้า แต่เรายังดูตัวเลือกที่ถูกปฏิเสธเพื่อให้แน่ใจว่าเรากำลังตรวจสอบข้อเสนอแนะทั้งหมดที่อาจเป็นประโยชน์สำหรับเราในการเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยของเรา
- เราตอบสนองอย่างรวดเร็ว:ความเร็วเป็นสิ่งสำคัญ ที่ Grammarly เราภาคภูมิใจในการรักษาคะแนนที่สูงมากสำหรับประสิทธิภาพการตอบสนอง ซึ่งเกือบ 100% จำเป็นอย่างยิ่งที่เราต้องเคารพผลงานของนักวิจัย ซึ่งหลายคนกำลังทำงานโดยไม่ใส่ใจในผลิตภัณฑ์ของเราและสนใจในการส่งเสริมซอฟต์แวร์ที่ปลอดภัย
- เราให้แรงจูงใจที่นอกเหนือไปจากค่าตอบแทนมาตรฐาน:Grammarly มอบโบนัสเป็นเงินให้กับนักวิจัยที่ส่งรายงานที่มีคุณภาพ แม้ว่าพวกเขาจะยังไม่พบช่องโหว่ที่สำคัญก็ตาม ดังนั้นนักวิจัยเหล่านี้จึงมีส่วนร่วมต่อไป นอกจากนี้เรายังมอบโบนัสให้กับนักวิจัยด้านความปลอดภัยที่ไม่เพียงแต่มองหาข้อบกพร่องส่วนบุคคล แต่ยังสร้างสถานการณ์การโจมตีที่ซับซ้อนซึ่งประกอบด้วยช่องโหว่หลายประการ เราต้องการสนับสนุนการวิเคราะห์ที่ซับซ้อน
มั่นใจในการแก้ไขอย่างรวดเร็ว
โปรแกรมรางวัลข้อบกพร่องของ HackerOne ของเราช่วยให้เราส่งมอบผลิตภัณฑ์ที่ปลอดภัยสำหรับผู้ใช้และลูกค้าของเราทุกคน สิ่งสำคัญในการบรรลุวัตถุประสงค์นี้คือการทำให้แน่ใจว่าทีมของเราตอบสนองต่อรายงานจากนักวิจัยด้านความปลอดภัยโดยทันที จากนั้นทำงานร่วมกับทีมทั่วทั้งองค์กรวิศวกรรมของเราเพื่อแก้ไขโดยเร็วที่สุด
เพื่อให้แน่ใจว่าเรากำลังดำเนินการดังกล่าว Grammarly จึงรักษากระบวนการที่เป็นทางการและมีโครงสร้างเพื่อแก้ไขช่องโหว่ใดๆ อย่างรวดเร็ว ทีมรักษาความปลอดภัยของเราจะจัดการรายงานที่เข้ามาทั้งหมด ส่งรายงานไปยังทีมที่จำเป็น และทำงานร่วมกับวิศวกรเพื่อให้ข้อมูลที่จำเป็นและการจัดการโครงการเพื่อแก้ไขปัญหา
เมื่อเราแก้ไขช่องโหว่ที่อาจเกิดขึ้นแล้ว วิศวกรของ Grammarly จะต้องสามารถส่งการแก้ไขไปยังผู้ใช้และลูกค้าทุกคนได้ทันที นั่นเป็นเหตุผลที่เรารักษากลไกการอัปเดตที่สอดคล้องกันโดยคำนึงถึงข้อกำหนดด้านฟังก์ชันการทำงานทั้งหมด เพื่อให้ลูกค้าทุกคนสามารถไว้วางใจได้ว่าตนจะได้รับผลิตภัณฑ์เวอร์ชันที่อัปเดตและปลอดภัยที่สุดอยู่เสมอ
สร้างความสำเร็จจากค่าหัวบั๊ก
นับตั้งแต่เปิดตัวโปรแกรม Bug Bounty สาธารณะบน HackerOne ในปี 2018 Grammarly ได้เห็นความมุ่งมั่นที่ไม่ธรรมดาจากชุมชนนักวิจัยด้านความปลอดภัย จนถึงปัจจุบัน เราได้แก้ไขรายงานเกือบ 150 ฉบับ และจ่ายเงินมากกว่า 100,000 ดอลลาร์สหรัฐฯ ให้กับนักวิจัย 127 คน สถิติจะถูกรวบรวมอย่างต่อเนื่องใน หน้าโปรแกรม HackerOne ของ เรา
และเรายังคงพัฒนาโปรแกรมอย่างต่อเนื่องโดยมุ่งเน้นที่คุณสมบัติใหม่และการพัฒนาผลิตภัณฑ์ เราเพิ่มโบนัสและสิ่งจูงใจอื่นๆ เพื่อให้แน่ใจว่านักวิจัยด้านความปลอดภัยให้ความสนใจกับสิ่งที่สำคัญที่สุดสำหรับลูกค้า Grammarly ในขณะที่เราพัฒนาผู้ช่วยเขียนของเราอย่างต่อเนื่องเพื่อสนับสนุนการสื่อสารที่มีประสิทธิภาพทุกที่ที่ผู้คนทำงาน เรามีส่วนร่วมกับชุมชน HackerOne อย่างต่อเนื่องเพื่อให้นักวิจัยด้านความปลอดภัยชั้นนำมาตรวจสอบข้อเท็จจริงในระดับผู้เชี่ยวชาญที่จำเป็น
Grammarly เชื่อมั่นอย่างยิ่งในโปรแกรมนี้ มันอำนวยความสะดวกในการเข้าถึงทรัพยากรที่ดีที่สุดเพื่อบรรเทาช่องโหว่และป้องกันผู้โจมตีที่อาจเกิดขึ้น ผู้คนนับล้านใช้ Grammarly ทุกวัน และผู้ใช้แต่ละรายควรจะวางใจได้ว่าซอฟต์แวร์นั้นปลอดภัยที่สุดเท่าที่จะเป็นไปได้ โปรแกรมรางวัลข้อบกพร่อง HackerOne ของ Grammarly สนับสนุนเราในความพยายามนี้
เรียนรู้เพิ่มเติมเกี่ยวกับการดำเนินการด้านความปลอดภัยทางไวยากรณ์ นโยบาย แนวทางปฏิบัติ และการรับรอง ที่ นี่