Programa ONLYOFFICE HackerOne: atualizações do verão 23
Ativo desde 2022, nosso programa HackerOne está crescendo em escopo e ritmo. Convidamos você a descobrir as estatísticas deste ano, ler sobre um novo item no escopo – ONLYOFFICE DocSpace e aprender como começar a testar as soluções ONLYOFFICE por meio do HackerOne.
Sobre o programa de recompensas ONLYOFFICE
Em 2021, lançamos o programa de recompensas por bugs do ONLYOFFICE no HackerOne, aspiramos a impulsionar nossos esforços de melhoria de segurança, envolvendo uma ampla comunidade de hackers profissionais nos testes de soluções ONLYOFFICE.
Como funciona? Os especialistas em vulnerabilidade ativos na plataforma são incentivados a executar uma variedade de testes facilitados em diversas de nossas soluções dentro do escopo do programa. Em troca, pagamos recompensas adequadas à gravidade do problema e os resolvemos dentro de um prazo controlado.
Atualmente, estamos mantendo nosso programa privado para ter melhor controle sobre o tratamento de vulnerabilidades neste estágio inicial. Os relatórios são baseados em convites, com cotas de convites selecionadas e seleção de candidatos. No futuro, planejamos abrir o programa para uma comunidade mais ampla e permitir a entrada orgânica de hackers.
Leia nosso blog de lançamento do programa para saber mais sobre os fundamentos do programa de recompensas de bugs do ONLYOFFICE.
Visão geral do programa 2023
Este ano, até agora, recebemos 30 relatórios válidos dos participantes do programa e resolvemos totalmente 34 envios (incluindo alguns dos relatórios do ano passado), pagando um total de US$ 10.200 em recompensas.
De todos os relatórios resolvidos, eliminamos com sucesso 8 vulnerabilidades críticas, 9 de alta importância e 17 de menor importância, o que consideramos um sucesso tendo em mente o volume de relatórios deste período.
Novo no escopo: ONLYOFFICE DocSpace
Desde o lançamento do ONLYOFFICE DocSpace na primavera de 2023, observamos um grande interesse de nossos usuários em testar a solução para descobrir e corrigir vulnerabilidades existentes. Embora já tenhamos aceitado alguns relatórios relacionados do nosso pessoal do HackerOne, agora decidimos oficializá-lo e adicionar o repositório DocSpace ao escopo do nosso programa.
Convidamos tanto os novos hackers quanto os participantes anteriores a assumir um novo desafio e testar o código do repositório ONLYOFFICE DocSpace. Leia abaixo para saber como ser convidado.
Como participar
Continuamos nosso programa de recompensas, com o objetivo de prepará-lo para um lançamento público. Neste momento, convidamos você a se inscrever no programa privado.
Envie-nos um e-mail com o título ONLYOFFICE HackerOne bounty no marketing@onlyoffice.com e descreva o que você encontrou junto com seu nome de usuário. Você receberá um convite logo após obter a aprovação da equipe de segurança do ONLYOFFICE.
