Grammarly 的 HackerOne 錯誤賞金計畫如何減少安全漏洞和風險

在 Grammarly，我們將安全性視為首要且最基本的產品功能。這是我們公司營運方式以及產品開發方式的核心。其中一部分是維護內部保障措施，從營運控制和安全冠軍計畫到我們專業安全團隊的持續應用程式監控。為了驗證我們每天所服務的超過 2000 萬人和 10,000 個團隊的信任，我們也認為進一步投資第三方來源的高級別風險評估至關重要。

這就是為什麼我們與 HackerOne 一起運行錯誤賞金計劃，HackerOne 是一個領先的安全平台，匯集了道德駭客來評估各種網路安全問題。自 2018 年啟動公共計畫以來，我們在降低安全事件風險方面取得了巨大成功。透過接觸全球才華橫溢的安全研究人員，我們可以在漏洞被惡意行為者識別並利用之前對其進行診斷。

透過錯誤賞金計畫支持 Grammarly 安全

錯誤賞金計畫邀請道德駭客檢測軟體漏洞並將其直接報告給公司進行修復。安全研究人員研究產品，編寫有關檢測到的錯誤的報告，並根據問題的嚴重性獲得金錢獎勵。他們遵循嚴格的道德安全研究準則，支援軟體供應商快速修復可能的威脅。

Grammarly 致力於探索所有可能的途徑，以確保最高水準的產品安全。我們選擇 HackerO ne 作為漏洞賞金計畫的合作平台，因為它是專注於道德駭客的最大平台之一，並擁有一個才華橫溢、受人尊敬的社區，擁有強大的網路安全專業知識。該平台擁有超過 30 萬名註冊紅色駭客，可全天候擴展全球漏洞監視計畫。一些世界上最大、最著名的科技公司也與 HackerOne 建立了合作關係。

設定一個成功的計劃

為了啟動我們的公共 HackerOne 漏洞賞金計劃，Grammarly 的安全團隊與整個工程組織的團隊進行協調，創建了一套清晰詳細的規則，概述了公司如何有效地與駭客合作。其中包括有關 HackerOne 社群最需要關注的漏洞的規範，以及提交報告和獎勵的要求。您可以在我們的HackerOne 計劃頁面上查看闡明範圍和重點的規則和指南。

為了擁有強大的錯誤賞金計劃，我們積極與社區互動。以下是 Grammarly 團隊牢記的一些原則：

1. 我們保持一致的溝通：回應駭客並詢問他們的工作至關重要。儘管 HackerOne 團隊預先測試了報告，但我們也會查看被拒絕的選項，以確保我們正在審查可能對我們加強安全態勢有用的所有回饋。
2. 我們反應迅速：速度至關重要。在 Grammarly，我們為保持極高的反應效率分數（接近 100%）而感到自豪。我們尊重研究人員的工作至關重要，他們中的許多人從事這項工作是出於對我們產品的關心和對推廣安全軟體的興趣。
3. 我們提供超出標準報酬的誘因： Grammarly 確保為發送高品質報告的研究人員提供金錢獎勵（即使他們尚未發現關鍵漏洞），以便這些研究人員保持參與。我們還為安全研究人員提供獎金，他們不僅尋找單一錯誤，而且正在建立由多個漏洞組成的複雜攻擊場景。我們希望鼓勵複雜的分析。

確保快速修復

我們的 HackerOne 錯誤賞金計畫幫助我們為所有用戶和客戶提供安全可靠的產品。實現這一目標的核心是確保我們的團隊及時回應安全研究人員的報告，然後與我們工程組織的團隊合作盡快進行修復。

為了確保我們這樣做，Grammarly 維護了一個官方的、結構化的流程來快速解決任何漏洞。我們的安全團隊管理所有傳入的報告，將報告轉發給必要的團隊，並與工程師合作提供必要的輸入和專案管理來解決問題。

一旦我們解決了任何潛在的漏洞，Grammarly 的工程師就需要能夠立即向所有使用者和客戶提供修復程序。這就是為什麼我們保持一致的更新機制，牢記所有功能要求，以便所有客戶都可以相信他們始終擁有我們產品的最新且安全的版本。

建立在錯誤賞金成功的基礎上

自 2018 年在 HackerOne 上啟動公共錯誤賞金計畫以來，Grammarly 得到了安全研究人員社群的非凡承諾。迄今為止，我們已解決了近 150 起報告，並向 127 名研究人員支付了超過 10 萬美元。我們的 HackerOne 計劃頁面上不斷收集統計數據。

我們始終在繼續開發該程序，以專注於新功能和產品開發。我們增加獎金和其他激勵措施，以確保安全研究人員專注於對 Grammarly 客戶來說最重要的事情。隨著我們繼續開發寫作助手以支持人們工作場所的有效溝通，我們不斷與 HackerOne 社群合作，讓頂級安全研究人員提供必要的專家級審查。

Grammarly 堅信這個計畫。它有助於我們獲取最佳資源來緩解漏洞並抵禦任何潛在的攻擊者。每天都有數百萬人使用 Grammarly，每個用戶都應該能夠相信該軟體盡可能安全可靠。 Grammarly 的 HackerOne 錯誤賞金計畫支持我們的這項努力。

在此處了解有關 Grammarly 安全操作、策略、實踐和證明的更多資訊。