Grammarly 的 HackerOne 漏洞賞金計劃如何減少安全漏洞和風險

已發表: 2020-09-15

在 Grammarly,我們將安全視為我們的第一個也是最基本的產品功能。 這是我們作為一家公司如何運作以及我們如何開發產品的核心。 其中一部分是維護內部安全措施,從運營控制和安全冠軍計劃到我們專業安全團隊的持續應用程序監控。 為了驗證我們每天服務的超過2,000 萬人和 10,000 個團隊的信任,我們還認為,更進一步並投資於來自第三方來源的高級風險評估至關重要。

這就是我們與 HackerOne 合作運行漏洞賞金計劃的原因,HackerOne 是一個領先的安全平台,匯集了道德黑客來評估各種網絡安全問題。 自 2018 年啟動我們的公共計劃以來,我們在降低安全事件風險的能力方面取得了巨大成功。 通過訪問全球有才華的安全研究人員庫,我們可以在漏洞被惡意行為者識別並加以利用之前對其進行診斷。

通過錯誤賞金計劃支持語法安全

漏洞賞金計劃邀請道德黑客檢測軟件漏洞並將其直接報告給公司以進行補救。 安全研究人員研究該產品,編寫有關檢測到的錯誤的報告,並根據問題的嚴重程度獲得金錢獎勵。 他們遵循嚴格的道德安全研究指導方針,支持軟件提供商快速修復可能的威脅。

Grammarly 努力探索所有可能的途徑,以確保最高級別的產品安全。 我們選擇 HackerO ne 作為我們合作的平台來執行漏洞賞金計劃,因為它是專注於道德黑客攻擊的最大平台之一,並擁有一個才華橫溢、受人尊敬的社區,擁有強大的網絡安全專業知識。 該平台擁有超過 300,000 名註冊的紅色黑客,允許全天候擴展全球漏洞監視程序。 一些世界上最大和最著名的科技公司也與 HackerOne 合作。

在 Grammarly 確保您的寫作安全。
我們將安全作為產品、基礎設施和公司政策的核心。
了解更多

建立一個成功的計劃

為了啟動我們的公開 HackerOne 漏洞賞金計劃,Grammarly 的安全團隊與整個工程組織的團隊協調,制定了一套清晰詳細的規則,概述了公司如何與黑客進行有效合作。 這包括有關 HackerOne 社區最關注哪些漏洞的規範,以及提交報告和獎勵的要求。 您可以在我們的HackerOne 計劃頁面上查看闡明範圍和重點的規則和指南

為了擁有強大的漏洞賞金計劃,我們積極與社區互動。 以下是 Grammarly 團隊牢記的一些原則:

  1. 我們保持一致的溝通:回應黑客並詢問他們的工作至關重要。 即使 HackerOne 團隊預先測試報告,我們也會查看被拒絕的選項,以確保我們正在審查所有可能對我們有用的反饋,以加強我們的安全態勢。
  2. 我們反應迅速:速度至關重要。 在 Grammarly,我們以保持極高的響應效率得分而自豪——接近 100%。 我們尊重研究人員的工作至關重要,他們中的許多人是出於對我們產品的關心和對推廣安全軟件的興趣而從事這項工作的。
  3. 我們提供超出標準報酬的動力: Grammarly 確保向提交高質量報告的研究人員提供金錢獎勵——即使他們尚未發現嚴重漏洞——因此這些研究人員保持參與。 我們還為那些不只是尋找單個漏洞,而是正在構建包含多個漏洞的複雜攻擊場景的安全研究人員提供獎金。 我們希望鼓勵複雜的分析。

確保快速修復

我們的 HackerOne 漏洞賞金計劃幫助我們為所有用戶和客戶提供安全可靠的產品。 實現這一目標的核心是確保我們的團隊及時響應安全研究人員的報告,然後與我們工程組織的團隊合作,盡快進行補救。

為確保我們這樣做,Grammarly 維護了一個官方的結構化流程,以迅速解決任何漏洞。 我們的安全團隊管理所有收到的報告,將報告發送給必要的團隊,並與工程師合作提供必要的輸入和項目管理以解決問題。

一旦我們解決了任何潛在的漏洞,Grammarly 的工程師就需要能夠立即將修復交付給所有用戶和客戶。 這就是為什麼我們保持一致的更新機制,牢記所有功能要求——因此所有客戶都可以相信他們始終擁有我們產品的最新和安全版本。

建立在漏洞賞金成功之上

自 2018 年在 HackerOne 上啟動我們的公共漏洞賞金計劃以來,Grammarly 已經看到了安全研究人員社區的非凡承諾。 迄今為止,我們已經解決了近 150 份報告,並向 127 名研究人員支付了超過 100,000 美元的費用。我們的 HackerOne 程序頁面上不斷收集統計數據

我們一直在繼續開發該計劃,以專注於新功能和產品開發。 我們增加了獎金和其他激勵措施,以確保安全研究人員關注對 Grammarly 客戶最重要的內容。 隨著我們繼續開發我們的寫作助手以支持人們在任何地方工作的有效溝通,我們一直與 HackerOne 社區合作,讓頂級安全研究人員提供必要的專家級審查。

Grammarly 堅信這個計劃。 它有助於我們獲得最佳資源,以減輕漏洞並抵禦任何潛在的攻擊者。 每天都有數百萬人使用 Grammarly——每個用戶都應該能夠相信該軟件盡可能安全可靠。 Grammarly 的 HackerOne 漏洞賞金計劃為我們提供了支持。

在此處了解有關 Grammarly 安全操作、策略、實踐和證明的更多信息