ONLYOFFICE HackerOneプログラム: 23年夏のアップデート
2022年から活動している私たちのHackerOneプログラムは、その範囲とペースを拡大しています。私たちは今年の統計を発見し、範囲内の新しいアイテム-ONLYOFFICE DocSpace-について読み、HackerOneを通してONLYOFFICEソリューションをテストする方法を学ぶことを歓迎します。
ONLYOFFICE バグ報奨金プログラムについて
2021年、私たちはHackerOneにてONLYOFFICEバグ報奨金プログラムを開始しました。これは、ONLYOFFICEソリューションのテストに幅広いプロのハッカーコミュニティを参加させることで、私たちのセキュリティ向上の取り組みを後押しすることを目的としています。
どのように機能するのか?プラットフォーム上で活動する脆弱性スペシャリストは、プログラムの範囲内で私たちのソリューションの様々な促進テストを実行するよう奨励されます。その見返りとして、私たちは問題の深刻度に応じた報奨金を支払い、管理された時間枠内でそれらを解決します。
現在、この初期段階での脆弱性の取り扱いをよりよく管理するため、プログラムは非公開にしています。報告書は招待制で、招待枠と候補者の選択が管理されています。将来的には、このプログラムをより広いコミュニティに開放し、ハッカーの自然な流入を受け入れる予定です。
ONLYOFFICEバグ報奨金プログラムの要点については、プログラム開始ブログをお読みください。
2023年プログラム概要
今年度は、プログラム参加者から30件の有効な報告を受け、34件(過去1年間の報告も含む)の報告を完全に解決し、合計10,200ドルの報奨金を支払いました。
解決されたすべての報告から、8 件の重要度 の高い脆弱性、9 件の重要度の高い脆弱性、17 件の重要度の低い脆弱性を排除することに成功し、今期の 報告件数を考慮すると成功であったと言えます。
新たなスコープ ONLYOFFICE DocSpace
2023 年春に ONLYOFFICE DocSpace をリリースして以来、既存の脆弱性を発見し修正するた めのソリューションのテストに、ユーザの大きな関心が集まっています。私たちは以前からHackerOneのクラウドからいくつかの関連レポートを受け入れてきましたが、今回、正式にDocSpaceレポを私たちのプログラムのスコープに追加することにしました。
ONLYOFFICE DocSpaceレポのコードをテストするために、新しいハッカーと以前からの参加者の両方を招待します。参加方法は以下をご覧ください。
参加方法
私たちは懸賞金プログラムを継続し、一般公開の準備を進めています。現時点では、プライベートプログラムへの応募を歓迎します。
「ONLYOFFICE HackerOne bounty」(marketing@onlyoffice.com)という件名のメールをお送りいただき、ユーザー名とともに発見した内容をお知らせください。ONLYOFFICEセキュリティチームからの承認が得られ次第、まもなく招待状が届きます。
