โปรแกรม HackerOne Bug Bounty ของ Grammarly ช่วยลดช่องโหว่และความเสี่ยงด้านความปลอดภัยได้อย่างไร

ที่ Grammarly เราถือว่าการรักษาความปลอดภัยเป็นคุณลักษณะผลิตภัณฑ์พื้นฐานที่สำคัญที่สุดของเราเป็นอันดับแรก เป็นหัวใจสำคัญของการดำเนินงานของบริษัท และเราพัฒนาผลิตภัณฑ์อย่างไร ส่วนหนึ่งคือการรักษาระบบป้องกันภายใน ตั้งแต่การควบคุมการปฏิบัติงานและโปรแกรม Security Champions ไปจนถึงการตรวจสอบแอปพลิเคชันอย่างต่อเนื่องโดยทีมรักษาความปลอดภัยที่เชี่ยวชาญของเรา และด้วยเป้าหมายในการตรวจสอบความน่าเชื่อถือของผู้คนมากกว่า 20 ล้านคนและ 10,000 ทีมที่เราให้บริการทุกวัน เรา เชื่อว่าการดำเนินการต่อไปเป็นสิ่งสำคัญ และลงทุนในการประเมินความเสี่ยงระดับสูงจากแหล่งข้อมูลบุคคลที่สาม

นั่นเป็นเหตุผลที่เราเรียกใช้โปรแกรมหาข้อผิดพลาดด้วย HackerOne ซึ่งเป็นแพลตฟอร์มความปลอดภัยชั้นนำที่รวบรวมแฮ็กเกอร์ที่มีจริยธรรมเพื่อประเมินปัญหาความปลอดภัยในโลกไซเบอร์ทุกประเภท นับตั้งแต่เปิดตัวโปรแกรมสาธารณะของเราในปี 2018 เราได้เห็นความสำเร็จอย่างมากในความสามารถของเราในการลดความเสี่ยงจากเหตุการณ์ด้านความปลอดภัย ด้วยการเข้าถึงกลุ่มนักวิจัยด้านความปลอดภัยที่มีความสามารถทั่วโลก เราสามารถวินิจฉัยช่องโหว่ก่อนที่จะถูกระบุโดยผู้ประสงค์ร้ายเพื่อนำไปใช้ประโยชน์

รองรับการรักษาความปลอดภัย Grammarly ผ่านโปรแกรม Bug Bounty

โปรแกรม Bug Bounty เชิญแฮ็กเกอร์ที่มีจริยธรรมให้ตรวจจับช่องโหว่ของซอฟต์แวร์และรายงานโดยตรงต่อบริษัทเพื่อทำการแก้ไข นักวิจัยด้านความปลอดภัยศึกษาผลิตภัณฑ์ รวบรวมรายงานเกี่ยวกับจุดบกพร่องที่ตรวจพบ และรับรางวัลเป็นเงินตามระดับความสำคัญของปัญหา พวกเขาปฏิบัติตามแนวทางที่เข้มงวดสำหรับการวิจัยด้านความปลอดภัยตามหลักจริยธรรมซึ่งสนับสนุนผู้ให้บริการซอฟต์แวร์ในการแก้ไขภัยคุกคามที่อาจเกิดขึ้นได้อย่างรวดเร็ว

Grammarly มุ่งมั่นที่จะสำรวจเส้นทางที่เป็นไปได้ทั้งหมดเพื่อให้มั่นใจในความปลอดภัยของผลิตภัณฑ์ในระดับสูงสุด เราเลือก HackerO ne เป็นแพลตฟอร์มของเราในการร่วมเป็นพันธมิตรกับโปรแกรมแก้จุดบกพร่อง เนื่องจากเป็นหนึ่งในแพลตฟอร์มที่ใหญ่ที่สุดที่เน้นไปที่การแฮ็กอย่างมีจริยธรรม และโฮสต์ชุมชนที่มีความสามารถและเป็นที่เคารพนับถือ พร้อมความเชี่ยวชาญด้านการรักษาความปลอดภัยทางไซเบอร์ที่น่าเกรงขาม ด้วยแฮ็กเกอร์สีแดงที่ลงทะเบียนมากกว่า 300,000 ราย แพลตฟอร์มนี้จึงสามารถปรับขนาดโปรแกรมเฝ้าระวังช่องโหว่ทั่วโลกได้ตลอด 24 ชั่วโมง บริษัทเทคโนโลยีที่ใหญ่ที่สุดและมีชื่อเสียงที่สุดในโลกบางแห่งได้ร่วมมือกับ HackerOne ด้วย

ตั้งโปรแกรมสำเร็จ

ในการเปิดตัวโปรแกรมหาบั๊ก HackerOne สาธารณะ ทีมความปลอดภัยของ Grammarly ได้ประสานงานกับทีมทั่วทั้งองค์กรด้านวิศวกรรมเพื่อสร้างชุดกฎเกณฑ์ที่ชัดเจนและมีรายละเอียด โดยสรุปว่าบริษัทสามารถทำงานร่วมกับแฮกเกอร์ได้อย่างมีประสิทธิผลอย่างไร ซึ่งรวมถึงข้อกำหนดเกี่ยวกับช่องโหว่ที่สำคัญที่สุดสำหรับชุมชน HackerOne ที่จะมุ่งเน้น พร้อมกับข้อกำหนดในการส่งรายงานและรางวัล คุณสามารถดูกฎและแนวทางปฏิบัติที่ชี้แจงขอบเขตและเน้นที่ หน้าโปรแกรม HackerOne ของ เรา

ในการมีโปรแกรมหาบั๊กที่ดี เรามีส่วนร่วมกับชุมชนอย่างแข็งขัน หลักการสองสามข้อที่ทีม Grammarly ให้ความสำคัญเป็นอันดับต้นๆ มีดังนี้:

1. เรารักษาการสื่อสารที่สม่ำเสมอ: จำเป็นต้องตอบสนองต่อแฮกเกอร์และถามพวกเขาเกี่ยวกับงานของพวกเขา แม้ว่ารายงานการทดสอบล่วงหน้าของทีม HackerOne เรายังดูตัวเลือกที่ถูกปฏิเสธเพื่อให้แน่ใจว่าเรากำลังตรวจสอบข้อเสนอแนะทั้งหมดที่อาจเป็นประโยชน์ต่อเราในการเสริมความแข็งแกร่งให้กับมาตรการรักษาความปลอดภัยของเรา
2. เราตอบสนองอย่างรวดเร็ว: ความเร็วเป็นสิ่งสำคัญ ที่ Grammarly เราภาคภูมิใจในการรักษาคะแนนที่สูงมากสำหรับประสิทธิภาพการตอบสนอง—เกือบ 100% สิ่งสำคัญคือเราต้องเคารพงานของนักวิจัย ซึ่งหลายคนทำงานด้วยความระมัดระวังในผลิตภัณฑ์ของเราและสนใจในการส่งเสริมซอฟต์แวร์ที่ปลอดภัย
3. เราให้แรงจูงใจที่มากกว่าค่าตอบแทนมาตรฐาน: Grammarly ทำให้แน่ใจว่าจะให้โบนัสเป็นเงินแก่นักวิจัยที่ส่งรายงานที่มีคุณภาพ แม้ว่าพวกเขาจะยังไม่พบช่องโหว่ที่สำคัญก็ตาม ดังนั้นนักวิจัยเหล่านี้จึงมีส่วนร่วมอยู่เสมอ นอกจากนี้เรายังให้โบนัสแก่นักวิจัยด้านความปลอดภัยที่ไม่เพียงแต่มองหาจุดบกพร่องส่วนบุคคล แต่ยังสร้างสถานการณ์การโจมตีที่ซับซ้อนซึ่งประกอบด้วยช่องโหว่หลายประการ เราต้องการสนับสนุนการวิเคราะห์ที่ซับซ้อน

มั่นใจแก้ไขได้ทันท่วงที

โปรแกรมหาบั๊ก HackerOne ของเราช่วยให้เราส่งมอบผลิตภัณฑ์ที่ปลอดภัยสำหรับผู้ใช้และลูกค้าของเราทุกคน ศูนย์กลางในการบรรลุวัตถุประสงค์นี้คือการทำให้แน่ใจว่าทีมของเราจะตอบสนองต่อรายงานจากนักวิจัยด้านความปลอดภัยโดยทันที จากนั้นจึงทำงานร่วมกับทีมทั่วทั้งองค์กรด้านวิศวกรรมของเราเพื่อแก้ไขโดยเร็วที่สุด

เพื่อให้แน่ใจว่าเรากำลังดำเนินการดังกล่าว Grammarly ได้รักษากระบวนการที่มีโครงสร้างอย่างเป็นทางการเพื่อจัดการกับช่องโหว่ต่างๆ อย่างรวดเร็ว ทีมรักษาความปลอดภัยของเราจะจัดการรายงานที่เข้ามาทั้งหมด ส่งรายงานไปยังทีมที่จำเป็น และร่วมมือกับวิศวกรในการให้ข้อมูลที่จำเป็นและการจัดการโครงการเพื่อแก้ไขปัญหา

เมื่อเราแก้ไขช่องโหว่ที่อาจเกิดขึ้น วิศวกรของ Grammarly จะต้องสามารถส่งมอบการแก้ไขให้กับผู้ใช้และลูกค้าทุกคนได้ทันที นั่นคือเหตุผลที่เรารักษากลไกการอัปเดตที่สอดคล้องกันโดยคำนึงถึงข้อกำหนดด้านฟังก์ชันทั้งหมด เพื่อให้ลูกค้าทุกคนวางใจได้ว่าพวกเขามีผลิตภัณฑ์เวอร์ชันล่าสุดและปลอดภัยที่สุดเสมอ

ต่อยอดจากความสำเร็จในการล่าบั๊ก

นับตั้งแต่เปิดตัวโปรแกรมให้รางวัลจุดบกพร่องสาธารณะบน HackerOne ในปี 2018 Grammarly ได้เห็นความมุ่งมั่นที่ไม่ธรรมดาจากชุมชนนักวิจัยด้านความปลอดภัย จนถึงปัจจุบัน เราได้แก้ไขรายงานเกือบ 150 รายการ และจ่ายเงินให้นักวิจัยมากกว่า 100,000 ดอลลาร์สหรัฐฯ ให้กับ 127 คน สถิติจะถูกรวบรวมอย่างต่อเนื่องใน หน้าโปรแกรม HackerOne ของ เรา

และเรายังคงพัฒนาโปรแกรมอย่างต่อเนื่องโดยมุ่งเน้นที่คุณลักษณะใหม่และการพัฒนาผลิตภัณฑ์ เราเพิ่มโบนัสและสิ่งจูงใจอื่นๆ เพื่อให้แน่ใจว่านักวิจัยด้านความปลอดภัยให้ความสำคัญกับสิ่งที่สำคัญที่สุดสำหรับลูกค้า Grammarly ในขณะที่เราพัฒนาผู้ช่วยด้านการเขียนของเราต่อไปเพื่อรองรับการสื่อสารที่มีประสิทธิภาพในทุกที่ที่ผู้คนทำงาน เราจึงมีส่วนร่วมกับชุมชน HackerOne อย่างสม่ำเสมอเพื่อให้นักวิจัยด้านความปลอดภัยชั้นนำทำการตรวจสอบระดับผู้เชี่ยวชาญที่จำเป็น

Grammarly เชื่อมั่นในโปรแกรมนี้ ช่วยให้เราเข้าถึงทรัพยากรที่ดีที่สุดเพื่อบรรเทาช่องโหว่และป้องกันผู้โจมตีที่อาจเกิดขึ้น ผู้คนนับล้านใช้ Grammarly ทุกวัน—และผู้ใช้แต่ละคนควรสามารถวางใจได้ว่าซอฟต์แวร์มีความปลอดภัยสูงสุด โปรแกรมหาบั๊ก HackerOne ของ Grammarly สนับสนุนเราในความพยายามนี้

เรียนรู้เพิ่มเติมเกี่ยวกับการดำเนินการ นโยบาย แนวทางปฏิบัติ และการรับรองด้านความปลอดภัยของ Grammarly ที่ นี่