ONLYOFFICE HackerOne-Programm: Aktualisierungen im Sommer 2023
Unser HackerOne-Programm, das seit 2022 aktiv ist, wächst in Umfang und Tempo. Wir laden Sie herzlich ein, die diesjährigen Statistiken zu entdecken, sich über ein neues Produkt zu informieren — ONLYOFFICE DocSpace, und zu erfahren, wie Sie ONLYOFFICE-Lösungen über HackerOne testen können.
Über das ONLYOFFICE-Bounty-Programm
Im Jahr 2021 haben wir das ONLYOFFICE Bug Bounty-Programm auf HackerOne gestartet, um unsere Bemühungen zur Verbesserung der Sicherheit zu verstärken, indem wir eine breite professionelle Hacker-Community in die Tests der ONLYOFFICE-Lösungen einbeziehen.
Wie funktioniert das Programm? Auf der Plattform tätige Schwachstellenspezialisten werden ermutigt, eine Reihe von vereinfachten Tests mit unseren Lösungen innerhalb des Programmbereichs durchzuführen. Im Gegenzug zahlen wir Prämien, die dem Schweregrad des Problems entsprechen, und lösen sie innerhalb eines kontrollierten Zeitrahmens.
Derzeit halten wir unser Programm privat, um in diesem frühen Stadium eine bessere Kontrolle über den Umgang mit Schwachstellen zu haben. Die Berichterstattung basiert auf Einladungen mit festgelegten Einladungsquoten und Kandidatenauswahl. Für die Zukunft planen wir, das Programm für die breitere Gemeinschaft zu öffnen und den organischen Zustrom von Hackern zuzulassen.
Lesen Sie unseren Blog zum Start des Programms, um mehr über die Grundlagen des ONLYOFFICE Bug Bounty-Programms zu erfahren.
Programmübersicht 2023
In diesem Jahr haben wir bisher 30 gültige Meldungen von den Programmteilnehmern erhalten und 34 Meldungen vollständig gelöst (einschließlich einiger Meldungen aus dem vergangenen Jahr), wobei insgesamt 10.200 Dollar an Prämien ausgezahlt wurden.
Von allen behobenen Meldungen konnten wir 8 kritische, 9 sehr wichtige und 17 weniger wichtige Schwachstellen beseitigen, was wir angesichts des Berichtsvolumens in diesem Zeitraum als Erfolg betrachten.
Neu im Angebot: ONLYOFFICE DocSpace
Seit der Veröffentlichung von ONLYOFFICE DocSpace im Frühjahr 2023 beobachten wir ein großes Interesse unserer Nutzer am Testen der Lösung, um bestehende Schwachstellen zu entdecken und zu beheben. Obwohl wir bereits zuvor einige diesbezügliche Berichte von unserer HackerOne-Crowd akzeptiert haben, haben wir uns nun entschlossen, es offiziell zu machen und das DocSpace-Repositorium in den Geltungsbereich unseres Programms aufzunehmen.
Wir laden sowohl die neuen Hacker als auch die früheren Teilnehmer ein, sich einer neuen Herausforderung zu stellen und den Code des ONLYOFFICE DocSpace Repo zu testen. Lesen Sie unten, um zu erfahren, wie Sie eingeladen werden.
Wie Sie teilnehmen können
Wir setzen unser Bounty-Programm fort und streben danach, es für einen öffentlichen Start vorzubereiten. Im Moment sind Sie herzlich eingeladen, sich für das private Programm zu bewerben.
Senden Sie uns eine E-Mail mit dem Titel ONLYOFFICE HackerOne Bounty an marketing@onlyoffice.com und beschreiben Sie, was Sie gefunden haben, zusammen mit Ihrem Benutzernamen. Sie erhalten in Kürze eine Einladung, sobald das Sicherheitsteam von ONLYOFFICE seine Zustimmung gegeben hat.
