Wie das HackerOne Bug Bounty-Programm von Grammarly Sicherheitslücken und -risiken reduziert

Veröffentlicht: 2020-09-15

Bei Grammarly betrachten wir Sicherheit als unser erstes und grundlegendstes Produktmerkmal. Es ist das Herzstück dessen, wie wir als Unternehmen arbeiten und wie wir unser Produkt entwickeln. Dazu gehört auch die Aufrechterhaltung interner Sicherheitsvorkehrungen, von Betriebskontrollen und einem Security-Champions-Programm bis hin zur ständigen Anwendungsüberwachung durch unser spezialisiertes Sicherheitsteam. Und mit dem Ziel, das Vertrauen der mehr als 20 Millionen Menschen und 10.000 Teams, denen wir täglich dienen, zu bestätigen, glauben wir auch, dass es wichtig ist, weiter zu gehen – und in hochrangige Risikobewertungen von Drittanbietern zu investieren.

Aus diesem Grund betreiben wir ein Bug-Bounty-Programm mit HackerOne, einer führenden Sicherheitsplattform, die ethische Hacker zusammenbringt, um Cybersicherheitsprobleme aller Art zu bewerten. Seit dem Start unseres öffentlichen Programms im Jahr 2018 haben wir große Erfolge bei der Reduzierung des Risikos von Sicherheitsvorfällen erzielt. Mit Zugang zu einem globalen Pool talentierter Sicherheitsforscher können wir Schwachstellen diagnostizieren, bevor sie von böswilligen Akteuren zur Ausnutzung identifiziert werden.

Unterstützung der grammatikalischen Sicherheit durch ein Bug-Bounty-Programm

Ein Bug-Bounty-Programm lädt ethische Hacker ein, Software-Schwachstellen zu erkennen und diese direkt dem Unternehmen zur Behebung zu melden. Sicherheitsforscher untersuchen das Produkt, stellen Berichte über entdeckte Fehler zusammen und erhalten je nach Kritikalität des Problems finanzielle Belohnungen. Sie befolgen strenge Richtlinien für ethische Sicherheitsforschung, die Softwareanbieter dabei unterstützen, mögliche Bedrohungen schnell zu beseitigen.

Grammarly ist bestrebt, alle möglichen Wege zu gehen, um Produktsicherheit auf höchstem Niveau zu gewährleisten. Wir haben HackerOne als unsere Plattform für die Partnerschaft mit einem Bug-Bounty-Programm ausgewählt, da es eine der größten Plattformen ist, die sich auf ethisches Hacken konzentriert und eine talentierte, angesehene Community mit beeindruckender Cybersicherheitsexpertise beherbergt. Mit mehr als 300.000 registrierten roten Hackern ermöglicht die Plattform die Skalierung eines globalen Schwachstellenüberwachungsprogramms rund um die Uhr. Einige der weltweit größten und bemerkenswertesten Technologieunternehmen haben sich ebenfalls mit HackerOne zusammengeschlossen.

Schützen Sie Ihr Schreiben bei Grammarly.
Wir stellen die Sicherheit in den Mittelpunkt unserer Produkt-, Infrastruktur- und Unternehmensrichtlinien.
Mehr erfahren

Erstellen Sie ein erfolgreiches Programm

Um unser öffentliches HackerOne-Bug-Bounty-Programm zu starten, hat sich das Sicherheitsteam von Grammarly mit Teams in der gesamten Engineering-Organisation abgestimmt, um ein klares und detailliertes Regelwerk zu erstellen, das umreißt, wie das Unternehmen produktiv mit Hackern zusammenarbeiten kann. Dazu gehören Spezifikationen darüber, welche Schwachstellen für die HackerOne-Community am wichtigsten sind, zusammen mit Anforderungen für das Einreichen von Berichten und Belohnungen. Sie können die Regeln und Richtlinien, die den Umfang und die Schwerpunkte verdeutlichen, auf unserer HackerOne-Programmseite einsehen .

Um ein starkes Bug-Bounty-Programm zu haben, arbeiten wir aktiv mit der Community zusammen. Hier sind ein paar Prinzipien, die das Grammarly-Team im Auge behält:

  1. Wir pflegen eine konsequente Kommunikation: Es ist wichtig, auf Hacker zu reagieren und sie nach ihrer Arbeit zu fragen. Obwohl das HackerOne-Team Berichte vorab testet, sehen wir uns auch die abgelehnten Optionen an, um sicherzustellen, dass wir alle Rückmeldungen prüfen, die für uns nützlich sein könnten, um unsere Sicherheitslage zu stärken.
  2. Wir reagieren schnell: Schnelligkeit ist das A und O. Bei Grammarly sind wir stolz darauf, eine extrem hohe Punktzahl für die Antworteffizienz beizubehalten – fast 100 %. Es ist wichtig, dass wir die Arbeit der Forscher respektieren, von denen viele die Arbeit aus Sorge um unser Produkt und aus Interesse an der Förderung sicherer Software machen.
  3. Wir bieten Motivation über die Standardvergütung hinaus: Grammarly stellt sicher, dass Forscher, die Qualitätsberichte einsenden, Geldprämien erhalten – auch wenn sie noch keine kritischen Schwachstellen gefunden haben – damit diese Forscher engagiert bleiben. Wir bieten auch Boni für Sicherheitsforscher, die nicht nur nach einzelnen Fehlern suchen, sondern komplexe Angriffsszenarien aufbauen, die aus mehreren Schwachstellen bestehen. Wir wollen komplexe Analysen fördern.

Sicherstellung einer zügigen Behebung

Unser HackerOne-Bug-Bounty-Programm hilft uns, ein Produkt bereitzustellen, das für alle unsere Benutzer und Kunden sicher und geschützt ist. Um dieses Ziel zu erreichen, muss sichergestellt werden, dass unser Team unverzüglich auf Berichte von Sicherheitsforschern reagiert – und dann mit Teams in unserer gesamten Engineering-Organisation zusammenarbeitet, um so schnell wie möglich Abhilfe zu schaffen.

Um sicherzustellen, dass wir dies tun, unterhält Grammarly einen offiziellen, strukturierten Prozess, um alle Schwachstellen schnell zu beheben. Unser Sicherheitsteam verwaltet alle eingehenden Berichte, leitet den Bericht an das erforderliche Team weiter und arbeitet mit Ingenieuren zusammen, um den erforderlichen Input und das Projektmanagement zur Lösung von Problemen bereitzustellen.

Sobald wir eine potenzielle Schwachstelle behoben haben, müssen die Ingenieure von Grammarly in der Lage sein, die Lösung sofort allen Benutzern und Kunden bereitzustellen. Aus diesem Grund pflegen wir konsistente Update-Mechanismen, die alle Funktionsanforderungen berücksichtigen – damit alle Kunden darauf vertrauen können, dass sie immer die aktuellste und sicherste Version unserer Produktangebote haben.

Aufbauend auf dem Erfolg von Bug Bounty

Seit dem Start unseres öffentlichen Bug-Bounty-Programms auf HackerOne im Jahr 2018 hat Grammarly ein außerordentliches Engagement der Sicherheitsforscher-Community erfahren. Bis heute haben wir fast 150 Berichte gelöst und mehr als 100.000 US-Dollar an 127 Forscher gezahlt. Statistiken werden kontinuierlich auf unserer HackerOne-Programmseite gesammelt .

Und wir entwickeln das Programm ständig weiter, um uns auf neue Funktionen und Produktentwicklungen zu konzentrieren. Wir fügen Boni und andere Anreize hinzu, um sicherzustellen, dass Sicherheitsforscher darauf achten, was für Grammarly-Kunden am wichtigsten ist. Während wir unseren Schreibassistenten weiterentwickeln, um überall dort, wo Menschen arbeiten, eine effektive Kommunikation zu unterstützen, arbeiten wir konsequent mit der HackerOne-Community zusammen, um die besten Sicherheitsforscher dazu zu bringen, grundlegende Untersuchungen auf Expertenebene durchzuführen.

Grammarly glaubt fest an dieses Programm. Es erleichtert unseren Zugriff auf die besten Ressourcen, um Schwachstellen zu mindern und potenzielle Angreifer abzuwehren. Grammarly wird täglich von Millionen verwendet – und jeder Benutzer sollte sich darauf verlassen können, dass die Software so sicher und geschützt wie möglich ist. Das Bug-Bounty-Programm HackerOne von Grammarly unterstützt uns dabei.

Erfahren Sie hier mehr über Grammarly-Sicherheitsvorgänge, -Richtlinien, -Praktiken und -Bestätigungen .