Programma ONLYOFFICE HackerOne: aggiornamenti estate 23
Attivo dal 2022, il nostro programma HackerOne sta crescendo in termini di portata e ritmo. Scopri le statistiche di quest’anno, leggi le informazioni su un nuovo elemento nell’ambito: ONLYOFFICE DocSpace e impara come iniziare a testare le soluzioni ONLYOFFICE tramite HackerOne.
Informazioni sul programma ricompensa di ONLYOFFICE
Nel 2022, abbiamo lanciato il programma bug bounty di ONLYOFFICE su HackerOne, con l’obiettivo di migliorare la sicurezza e potenziare i nostri sforzi coinvolgendo un’ampia comunità di hacker professionisti nel testare le soluzioni di ONLYOFFICE.
Come funziona? Gli specialisti delle vulnerabilità attivi sulla piattaforma sono invitati a eseguire una serie di test facilitati su una gamma delle nostre soluzioni nell’ambito del programma. In cambio, paghiamo ricompense adeguate alla gravità del problema e lo risolviamo entro un periodo di tempo controllato.
Attualmente manteniamo privato il nostro programma per avere un migliore controllo sulla gestione delle vulnerabilità. Il reporting è basato su inviti quotati e selezione dei candidati. In futuro, stiamo pianificando di aprire il programma a una comunità più ampia e di consentire l’ingresso libero di hacker.
Leggi il nostro blog sul lancio del programma per saperne di più sugli elementi essenziali del programma bug bounty di ONLYOFFICE.
Panoramica del programma 2023
Quest’anno, finora, abbiamo ricevuto 30 rapporti validi dai partecipanti al programma e abbiamo risolto completamente 34 richieste (incluse alcuni report dell’anno scorso), pagando un totale $ 10.200 di premi.
Di tutti i report risolti, abbiamo eliminato con successo 8 vulnerabilità critiche, 9 di grande importanza e 17 di minore importanza, cosa che consideriamo un successo tenendo presente il volume di report di questo periodo.
Nuovo nell’ambito: ONLYOFFICE DocSpace
Dal lancio di ONLYOFFICE DocSpace nella primavera del 2023, stiamo osservando un grande interesse da parte dei nostri utenti nel testare la soluzione per scoprire e correggere le vulnerabilità esistenti. Anche se in precedenza abbiamo accettato alcune segnalazioni correlate dal nostro gruppo HackerOne, ora abbiamo deciso di renderle ufficiali e aggiungere il repository DocSpace all’ambito del nostro programma.
Invitiamo sia i nuovi hacker che i precedenti partecipanti ad accettare una nuova sfida e a mettere alla prova il codice del repository ONLYOFFICE DocSpace. Leggi di seguito per sapere come ricevere un invito.
Come partecipare
Stiamo continuando il nostro programma di ricompensa, rendendolo pronto per un lancio pubblico. In questo momento, ti invitiamo a partecipare al programma privato.
Inviaci un’e-mail intitolata ONLYOFFICE HackerOne bounty all’indirizzo marketing@onlyoffice.com e descrivi cosa hai trovato insieme al tuo nome utente. Riceverai un invito a breve dopo aver ottenuto l’approvazione dal team di sicurezza di ONLYOFFICE.
