Grammarly 的 HackerOne 错误赏金计划如何减少安全漏洞和风险
已发表: 2020-09-15在 Grammarly,我们将安全性视为首要且最基本的产品功能。这是我们公司运营方式以及产品开发方式的核心。其中一部分是维护内部保障措施,从运营控制和安全冠军计划到我们专业安全团队的持续应用程序监控。为了验证我们每天所服务的超过 2000 万人和 10,000 个团队的信任,我们还认为进一步投资第三方来源的高级别风险评估至关重要。
这就是为什么我们与 HackerOne 一起运行错误赏金计划,HackerOne 是一个领先的安全平台,汇集了道德黑客来评估各种网络安全问题。自 2018 年启动公共计划以来,我们在降低安全事件风险方面取得了巨大成功。通过接触全球才华横溢的安全研究人员,我们可以在漏洞被恶意行为者识别并利用之前对其进行诊断。
通过错误赏金计划支持 Grammarly 安全
错误赏金计划邀请道德黑客检测软件漏洞并将其直接报告给公司进行修复。安全研究人员研究产品,编写有关检测到的错误的报告,并根据问题的严重性获得金钱奖励。他们遵循严格的道德安全研究准则,支持软件提供商快速修复可能的威胁。
Grammarly 致力于探索所有可能的途径,以确保最高水平的产品安全。我们选择 HackerO ne 作为漏洞赏金计划的合作平台,因为它是专注于道德黑客的最大平台之一,并拥有一个才华横溢、受人尊敬的社区,拥有强大的网络安全专业知识。该平台拥有超过 300,000 名注册红色黑客,可以全天候扩展全球漏洞监视计划。一些世界上最大、最著名的科技公司也与 HackerOne 建立了合作伙伴关系。
设置一个成功的计划
为了启动我们的公共 HackerOne 漏洞赏金计划,Grammarly 的安全团队与整个工程组织的团队进行协调,创建了一套清晰详细的规则,概述了公司如何高效地与黑客合作。其中包括有关 HackerOne 社区最需要关注的漏洞的规范,以及提交报告和奖励的要求。您可以在我们的HackerOne 计划页面上查看阐明范围和重点的规则和指南。
为了拥有强大的错误赏金计划,我们积极与社区互动。以下是 Grammarly 团队牢记的一些原则:
- 我们保持一致的沟通:回应黑客并询问他们的工作至关重要。尽管 HackerOne 团队预先测试了报告,但我们也会查看被拒绝的选项,以确保我们正在审查可能对我们加强安全态势有用的所有反馈。
- 我们反应迅速:速度至关重要。在 Grammarly,我们为保持极高的响应效率得分(接近 100%)而感到自豪。我们尊重研究人员的工作至关重要,他们中的许多人从事这项工作是出于对我们产品的关心和对推广安全软件的兴趣。
- 我们提供超出标准报酬的激励: Grammarly 确保为发送高质量报告的研究人员提供金钱奖励(即使他们尚未发现关键漏洞),以便这些研究人员保持参与。我们还为安全研究人员提供奖金,他们不仅寻找单个错误,而且正在构建由多个漏洞组成的复杂攻击场景。我们希望鼓励复杂的分析。
确保快速修复
我们的 HackerOne 错误赏金计划帮助我们为所有用户和客户提供安全可靠的产品。实现这一目标的核心是确保我们的团队及时响应安全研究人员的报告,然后与我们工程组织的团队合作尽快进行修复。
为了确保我们这样做,Grammarly 维护了一个官方的、结构化的流程来快速解决任何漏洞。我们的安全团队管理所有传入的报告,将报告转发给必要的团队,并与工程师合作提供必要的输入和项目管理来解决问题。
一旦我们解决了任何潜在的漏洞,Grammarly 的工程师就需要能够立即向所有用户和客户提供修复程序。这就是为什么我们保持一致的更新机制,牢记所有功能要求,以便所有客户都可以相信他们始终拥有我们产品的最新且安全的版本。
建立在错误赏金成功的基础上
自 2018 年在 HackerOne 上启动公共错误赏金计划以来,Grammarly 得到了安全研究人员社区的非凡承诺。迄今为止,我们已解决了近 150 起报告,并向 127 名研究人员支付了超过 10 万美元。我们的 HackerOne 计划页面上不断收集统计数据。
我们始终在继续开发该程序,以专注于新功能和产品开发。我们增加奖金和其他激励措施,以确保安全研究人员关注对 Grammarly 客户来说最重要的事情。随着我们继续开发写作助手以支持人们工作场所的有效沟通,我们不断与 HackerOne 社区合作,让顶级安全研究人员提供必要的专家级审查。
Grammarly 坚信这个计划。它有助于我们获取最佳资源来缓解漏洞并抵御任何潜在的攻击者。每天都有数百万人使用 Grammarly,每个用户都应该能够相信该软件尽可能安全可靠。 Grammarly 的 HackerOne 错误赏金计划支持我们的这一努力。
在此处了解有关 Grammarly 安全操作、策略、实践和证明的更多信息。