El programa de ONLYOFFICE en HackerOne: novedades del verano de 2023
Nuestro programa en HackerOne, activo desde 2022, está creciendo en su alcance y ritmo. Te invitamos a descubrir las estadísticas de este año, leer sobre un nuevo elemento en el alcance (ONLYOFFICE DocSpace) y aprender cómo empezar a probar las soluciones de ONLYOFFICE a través de HackerOne.
Acerca del programa de recompensas de ONLYOFFICE
En 2021 lanzamos el programa de recompensas por errores de ONLYOFFICE en HackerOne, aspirando a impulsar nuestros esfuerzos de mejora de la seguridad mediante la participación de una amplia comunidad de hackers profesionales en las pruebas de las soluciones de ONLYOFFICE.
¿Cómo funciona? Se anima a los especialistas en vulnerabilidades activos en la plataforma a realizar una serie de pruebas facilitadas sobre una serie de nuestras soluciones dentro del ámbito del programa. A cambio, pagamos recompensas adecuadas a la gravedad del problema y lo resolvemos en un plazo de tiempo controlado.
Actualmente, mantenemos nuestro programa en privado para tener un mejor control sobre la gestión de vulnerabilidades en esta fase inicial. Los informes se basan en invitaciones, con cuotas de invitación y selección de candidatos controladas. En el futuro estamos planeando abrir el programa a la comunidad en general y permitir así la entrada orgánica de hackers.
Lee nuestro artículo sobre el lanzamiento del programa para saber más sobre lo esencial del programa de recompensas por errores de ONLYOFFICE.
Visión general del programa en 2023
Por el momento, este año hemos recibido 30 informes válidos de los participantes en el programa, y hemos resuelto completamente 34 solicitudes (incluidos algunos de los informes del año pasado), pagando un total de 10.200 dólares en recompensas.
De todos los informes resueltos, hemos conseguido eliminar 8 vulnerabilidades críticas, 9 de gran importancia y 17 de menor importancia, lo que consideramos un éxito teniendo en cuenta el volumen de informes de este periodo.
Novedad en el alcance: ONLYOFFICE DocSpace
Desde el lanzamiento de ONLYOFFICE DocSpace en la primavera de 2023, estamos observando un gran interés de nuestros usuarios en probar la solución para descubrir y corregir las vulnerabilidades existentes. Aunque hemos aceptado previamente algunos informes relacionados de nuestra comunidad en HackerOne, ahora hemos decidido hacerlo oficial y añadir el repositorio de DocSpace al alcance de nuestro programa.
Invitamos tanto a los nuevos hackers como a los participantes anteriores a asumir un nuevo reto y poner a prueba el código del repositorio de ONLYOFFICE DocSpace. Para saber cómo ser invitado, sigue leyendo.
Cómo participar
Continuamos con nuestro programa de recompensas, aspirando a tenerlo listo para un lanzamiento público. En este momento te invitamos a participar en el programa privado.
Envíanos un correo electrónico ONLYOFFICE HackerOne bounty a marketing@onlyoffice.com y describe lo que has encontrado junto con tu nombre de usuario. Recibirás una invitación en breve después de obtener la aprobación del equipo de seguridad de ONLYOFFICE.
