• Anasayfa
  • Nesne
  • Genel
  • Grammarly'nin HackerOne Bug Bounty Programı Güvenlik Açıklarını ve Riski Nasıl Azaltır?

Grammarly'nin HackerOne Bug Bounty Programı Güvenlik Açıklarını ve Riski Nasıl Azaltır?

Yayınlanan: 2020-09-15

Grammarly'de güvenliği ilk ve en temel ürün özelliğimiz olarak görüyoruz. Bu, bir şirket olarak nasıl faaliyet gösterdiğimizin ve ürünümüzü nasıl geliştirdiğimizin merkezinde yer alır. Bunun bir kısmı, operasyon kontrolleri ve Güvenlik Şampiyonları programından uzman Güvenlik ekibimiz tarafından sürekli uygulama izlemeye kadar dahili korumaların sürdürülmesidir. Her gün hizmet verdiğimiz 20 milyondan fazla kişinin ve 10.000 ekibin güvenini doğrulama hedefiyle , daha da ileri gitmenin ve üçüncü taraf kaynaklardan üst düzey risk değerlendirmesine yatırım yapmanın hayati önem taşıdığına inanıyoruz.

Bu nedenle, her türden siber güvenlik sorununu değerlendirmek üzere etik hackerları bir araya getiren önde gelen güvenlik platformu HackerOne ile bir hata ödül programı yürütüyoruz. 2018 yılında kamuya açık programımızı başlattığımızdan bu yana, güvenlik olayları riskini azaltma becerimizde büyük başarı elde ettik. Yetenekli güvenlik araştırmacılarından oluşan küresel bir havuza erişim sayesinde, güvenlik açıklarını, istismar edilecek kötü niyetli aktörler tarafından tespit edilmeden önce teşhis edebiliriz.

Bir hata ödül programı aracılığıyla Grammarly güvenliğini destekleme

Bir hata ödül programı, etik bilgisayar korsanlarını yazılım açıklarını tespit etmeye ve bunları düzeltme için doğrudan şirkete bildirmeye davet eder. Güvenlik araştırmacıları ürünü inceliyor, tespit edilen hatalara ilişkin raporlar derliyor ve sorunun kritikliğine göre parasal ödüller alıyor. Olası tehditleri hızlı bir şekilde düzeltme konusunda yazılım sağlayıcılarını destekleyen etik güvenlik araştırmalarına yönelik katı yönergeleri takip ediyorlar.

Grammarly, ürün güvenliğini en üst düzeyde sağlamak için mümkün olan tüm yolları keşfetmeye çalışmaktadır. HackerOne'u bir hata ödül programı için ortak olarak platformumuz olarak seçtik çünkü bu, etik hacklemeye odaklanan en büyük platformlardan biri ve müthiş siber güvenlik uzmanlığına sahip yetenekli, saygın bir topluluğa ev sahipliği yapıyor. 300.000'den fazla kayıtlı kırmızı bilgisayar korsanının bulunduğu platform, küresel bir güvenlik açığı izleme programının günün her saati ölçeklendirilmesine olanak tanıyor. Dünyanın en büyük ve en önemli teknoloji şirketlerinden bazıları da HackerOne ile ortaklık kurdu.

Yazılarınızı Grammarly'de güvende tutuyoruz.
Güvenliği ürünümüzün, altyapımızın ve şirket politikalarımızın merkezinde tutuyoruz.

Başarılı bir programın kurulması

Herkese açık HackerOne hata ödül programımızı başlatmak için Grammarly'nin Güvenlik ekibi, şirketin bilgisayar korsanlarıyla nasıl verimli bir şekilde çalışabileceğinin ana hatlarını çizen açık ve ayrıntılı bir kurallar dizisi oluşturmak üzere Mühendislik organizasyonundaki ekiplerle koordineli çalıştı. Bu, HackerOne topluluğunun odaklanması gereken en önemli güvenlik açıklarının yanı sıra rapor ve ödül gönderme gereksinimlerine ilişkin spesifikasyonları içerir. Kapsamı ve odağı netleştiren kuralları ve yönergeleri HackerOne program sayfamızda görebilirsiniz .

Güçlü bir hata ödül programına sahip olmak için toplulukla aktif olarak etkileşim halindeyiz. İşte Grammarly ekibinin akılda tuttuğu birkaç prensip:

  1. Tutarlı bir iletişim sürdürüyoruz:Bilgisayar korsanlarına yanıt vermek ve onlara çalışmaları hakkında soru sormak çok önemlidir. HackerOne ekibi raporları önceden test etse de, güvenlik duruşumuzu güçlendirmek amacıyla bizim için yararlı olabilecek tüm geri bildirimleri incelediğimizden emin olmak amacıyla reddedilen seçeneklere de bakıyoruz.
  2. Hızlı tepki veririz:Hız çok önemlidir. Grammarly olarak, yanıt verimliliği açısından %100'e yakın son derece yüksek bir puanı korumaktan gurur duyuyoruz. Birçoğu ürünümüze özen göstererek ve güvenli yazılımı teşvik etmekle ilgilenen araştırmacıların çalışmalarına saygı duymamız hayati önem taşımaktadır.
  3. Standart ücretlendirmenin ötesinde motivasyon sağlıyoruz:Grammarly, kaliteli raporlar gönderen araştırmacılara (henüz kritik güvenlik açıkları bulmamış olsalar bile) parasal ikramiyeler sağlamayı garanti eder, böylece bu araştırmacılar etkileşimde kalır. Ayrıca, yalnızca bireysel hataları aramakla kalmayıp çeşitli güvenlik açıklarından oluşan karmaşık saldırı senaryoları oluşturan güvenlik araştırmacılarına da bonuslar sağlıyoruz. Karmaşık analizleri teşvik etmek istiyoruz.

Hızlı iyileştirmenin sağlanması

HackerOne hata ödül programımız, tüm kullanıcılarımız ve müşterilerimiz için güvenli ve emniyetli bir ürün sunmamıza yardımcı olur. Bu hedefe ulaşmanın temelinde, ekibimizin güvenlik araştırmacılarından gelen raporlara derhal yanıt vermesini ve ardından mümkün olan en kısa sürede sorunu düzeltmek için Mühendislik organizasyonumuzdaki ekiplerle birlikte çalışmasını sağlamaktır.

Bunu yaptığımızdan emin olmak için Grammarly, herhangi bir güvenlik açığını hızlı bir şekilde ele almak üzere resmi, yapılandırılmış bir süreç sürdürmektedir. Güvenlik ekibimiz gelen tüm raporları yönetir, raporu gerekli ekibe yönlendirir ve sorunların çözümü için gerekli girdiyi ve proje yönetimini sağlamak üzere mühendislerle işbirliği yapar.

Herhangi bir potansiyel güvenlik açığını çözdükten sonra Grammarly mühendislerinin düzeltmeyi tüm kullanıcılara ve müşterilere anında sunabilmeleri gerekiyor. Bu nedenle, tüm işlevsellik gereksinimlerini göz önünde bulunduran tutarlı güncelleme mekanizmalarını sürdürüyoruz; böylece tüm müşterilerimiz, ürün tekliflerimizin her zaman en güncel ve güvenli sürümüne sahip olduklarından emin olabilirler.

Hata ödülü başarısının üzerine inşa etmek

HackerOne'da genel hata ödül programımızın 2018'de başlatılmasından bu yana Grammarly, güvenlik araştırmacıları topluluğundan olağanüstü bir bağlılık gördü. Bugüne kadar 150'ye yakın raporu çözüme kavuşturduk ve 127 araştırmacıya 100.000 dolardan fazla ödeme yaptık. İstatistikler HackerOne program sayfamızda sürekli olarak toplanmaktadır .

Ve her zaman yeni özelliklere ve ürün geliştirmelerine odaklanmak için programı geliştirmeye devam ediyoruz. Güvenlik araştırmacılarının Grammarly müşterileri için en önemli olan şeylere dikkat ettiğinden emin olmak için bonuslar ve diğer teşvikler ekliyoruz. İnsanların çalıştığı her yerde etkili iletişimi desteklemek için yazma asistanımızı geliştirmeye devam ederken, en iyi güvenlik araştırmacılarının temel uzman düzeyinde inceleme sağlamasını sağlamak için HackerOne topluluğuyla sürekli olarak iletişim halindeyiz.

Grammarly bu programa güçlü bir şekilde inanıyor. Güvenlik açıklarını azaltmak ve potansiyel saldırganları savuşturmak için en iyi kaynaklara erişimimizi kolaylaştırır. Milyonlarca kişi Grammarly'yi her gün kullanıyor ve her kullanıcı, yazılımın mümkün olduğu kadar emniyetli ve emniyetli olduğuna güvenebilmelidir. Grammarly'nin HackerOne hata ödül programı bu çabamızda bizi destekliyor.

Grammarly güvenlik işlemleri, politikaları, uygulamaları ve doğrulamaları hakkında daha fazla bilgiyi burada bulabilirsiniz .