Grammarly 的 HackerOne 漏洞赏金计划如何减少安全漏洞和风险

已发表: 2020-09-15

在 Grammarly,我们将安全视为我们的第一个也是最基本的产品功能。 这是我们作为一家公司如何运作以及我们如何开发产品的核心。 其中一部分是维护内部安全措施,从运营控制和安全冠军计划到我们专业安全团队的持续应用程序监控。 为了验证我们每天服务的超过2,000 万人和 10,000 个团队的信任,我们还认为,更进一步并投资于来自第三方来源的高级风险评估至关重要。

这就是我们与 HackerOne 合作运行漏洞赏金计划的原因,HackerOne 是一个领先的安全平台,汇集了道德黑客来评估各种网络安全问题。 自 2018 年启动我们的公共计划以来,我们在降低安全事件风险的能力方面取得了巨大成功。 通过访问全球有才华的安全研究人员库,我们可以在漏洞被恶意行为者识别并加以利用之前对其进行诊断。

通过错误赏金计划支持语法安全

漏洞赏金计划邀请道德黑客检测软件漏洞并将其直接报告给公司以进行补救。 安全研究人员研究该产品,编写有关检测到的错误的报告,并根据问题的严重程度获得金钱奖励。 他们遵循严格的道德安全研究指导方针,支持软件提供商快速修复可能的威胁。

Grammarly 努力探索所有可能的途径,以确保最高级别的产品安全。 我们选择 HackerO ne 作为我们合作的平台来执行漏洞赏金计划,因为它是专注于道德黑客攻击的最大平台之一,并拥有一个才华横溢、受人尊敬的社区,拥有强大的网络安全专业知识。 该平台拥有超过 300,000 名注册的红色黑客,允许全天候扩展全球漏洞监视程序。 一些世界上最大和最著名的科技公司也与 HackerOne 合作。

在 Grammarly 确保您的写作安全。
我们将安全作为产品、基础设施和公司政策的核心。
了解更多

建立一个成功的计划

为了启动我们的公开 HackerOne 漏洞赏金计划,Grammarly 的安全团队与整个工程组织的团队协调,制定了一套清晰详细的规则,概述了公司如何与黑客进行有效合作。 这包括有关 HackerOne 社区最关注哪些漏洞的规范,以及提交报告和奖励的要求。 您可以在我们的HackerOne 计划页面上查看阐明范围和重点的规则和指南

为了拥有强大的漏洞赏金计划,我们积极与社区互动。 以下是 Grammarly 团队牢记的一些原则:

  1. 我们保持一致的沟通:回应黑客并询问他们的工作至关重要。 即使 HackerOne 团队预先测试报告,我们也会查看被拒绝的选项,以确保我们正在审查所有可能对我们有用的反馈,以加强我们的安全态势。
  2. 我们反应迅速:速度至关重要。 在 Grammarly,我们以保持极高的响应效率得分而自豪——接近 100%。 我们尊重研究人员的工作至关重要,他们中的许多人是出于对我们产品的关心和对推广安全软件的兴趣而从事这项工作的。
  3. 我们提供超出标准报酬的动力: Grammarly 确保向提交高质量报告的研究人员提供金钱奖励——即使他们尚未发现严重漏洞——因此这些研究人员保持参与。 我们还为那些不只是寻找单个漏洞,而是正在构建包含多个漏洞的复杂攻击场景的安全研究人员提供奖金。 我们希望鼓励复杂的分析。

确保快速修复

我们的 HackerOne 漏洞赏金计划帮助我们为所有用户和客户提供安全可靠的产品。 实现这一目标的核心是确保我们的团队及时响应安全研究人员的报告,然后与我们工程组织的团队合作,尽快进行补救。

为确保我们这样做,Grammarly 维护了一个官方的结构化流程,以迅速解决任何漏洞。 我们的安全团队管理所有收到的报告,将报告发送给必要的团队,并与工程师合作提供必要的输入和项目管理以解决问题。

一旦我们解决了任何潜在的漏洞,Grammarly 的工程师就需要能够立即将修复交付给所有用户和客户。 这就是为什么我们保持一致的更新机制,牢记所有功能要求——因此所有客户都可以相信他们始终拥有我们产品的最新和安全版本。

建立在漏洞赏金成功之上

自 2018 年在 HackerOne 上启动我们的公共漏洞赏金计划以来,Grammarly 已经看到了安全研究人员社区的非凡承诺。 迄今为止,我们已经解决了近 150 份报告,并向 127 名研究人员支付了超过 100,000 美元的费用。我们的 HackerOne 程序页面上不断收集统计数据

我们一直在继续开发该计划,以专注于新功能和产品开发。 我们增加了奖金和其他激励措施,以确保安全研究人员关注对 Grammarly 客户最重要的内容。 随着我们继续开发我们的写作助手以支持人们在任何地方工作的有效沟通,我们一直与 HackerOne 社区合作,让顶级安全研究人员提供必要的专家级审查。

Grammarly 坚信这个计划。 它有助于我们获得最佳资源,以减轻漏洞并抵御任何潜在的攻击者。 每天都有数百万人使用 Grammarly——每个用户都应该能够相信该软件尽可能安全可靠。 Grammarly 的 HackerOne 漏洞赏金计划为我们提供了支持。

在此处了解有关 Grammarly 安全操作、策略、实践和证明的更多信息