امنیت همیشه یک اولویت مهم در Grab بوده است. تیم امنیت محصول ما شبانه روزی برای اطمینان از اینکه دادههای کاربران ما امن باقی میماند، کار میکنند. پنج سال پیش، برنامه بات بانتی خصوصیمان را در HackerOne راهاندازی کردیم که در اواخر سال ۲۰۱۷ به یک برنامه عمومی تبدیل شد. ایده این برنامه بود که تلاشهای امنیتی تیم ما را کامل کند تا مجله زیبایی و درمانی آذر و تایز را امن نگه دارد. ما اولین نفر در جنوب شرق آسیا بودیم که یک برنامه عمومی بات بانتی اجرا کردیم و اکنون در میان ۲۰ برنامه برتر جهان در HackerOne قرار داریم.
ما راه اندازی به عنوان یک برنامه بات بانتی خصوصی کردیم که به ما نتایج فوق العاده ای ارائه کرد. این ما را تشویق کرد تا دسترسی خود را افزایش دهیم و از جامعه امنیت پویا در سراسر جهان که به ما در رفع مشکلات امنیتی محصولات و زیرساخت هایمان مرتبط بودند، بهره ببریم. سپس برنامه بات بانتی عمومی خود را راه اندازی کردیم و پاداشهای رقابتی ارائه میکنیم. هکرها حتی میتوانند درآمد اضافی کسب کنند اگر گزارش آنها به خوبی نوشته شده باشد و رویکرد نوآورانه ای را به آزمون نشان دهند.
در سال ۲۰۱۹، ما همچنین در Google Play Security Reward Programme (GPSRP) ثبت نام کردهایم. این برنامه به محققان اجازه میدهد موارد امنیتی موبایل خود را مجدداً ارائه کنند و در صورتی که گزارش زیر قوانین GPSRP معتبر باشد، پاداشهای اضافی دریافت کنند. تعداد معدودی از برنامههای اندروید شامل برنامه موبایل اندروید Grab است. از طریق شرکت در GPSP، ما امیدواریم تا به محققان شهرتی که به خاطر تلاشهای خود شایسته هستند، بدهیم.
در این پست وبلاگ، قصد داریم سفر خود را در اجرای یک برنامه بات بانتی، چالشهای وارد شده و تجربیات خود را در مسیر کمک به سایر شرکتها در منطقه آسیا جنوب شرقی و خارج از آن برای ایجاد و اجرای یک برنامه بات بانتی موفق به اشتراک بگذاریم.
انتقال از برنامه خصوصی به برنامه عمومی
در Grab، قبل از شروع برنامه خصوصی، سیاست و دامنه را تعریف کردهایم، که به ما امکان میدهد اهداف برنامه بات بانتی خود را ارتباط بدهیم و اهدافی که میتوان برای آنها مساعد برای آزمون مسائل امنیتی است را لیست کنیم. ما مسائل امنیتی که آسان برطرف میشوند را حذف کردهایم، افرادی را از تیم امنیت برای مراقبت از گزارشهای ورودی تعیین کردیم و سپس برنامه را در حالت خصوصی در هکر وان به تعداد محدودی از پژوهشگران انتخاب شده اجرا کردیم که تاریخچه ارسال گزارشهای کیفیت داشتهاند.
یکی از مزایای اجرای یک برنامه بات بانتی خصوصی، کنترل بیشتری بر روی تعداد گزارشهای ورودی مسائل امنیتی و پژوهشگرانی که میتوانند موارد را گزارش دهند، است. این امر اطمینان میدهد که گزارشها کیفیت دارند و به کنترل حجم گزارشهای اشکال امنیتی کمک میکند و از تشدید احتمالی برای تیم امنیت که ممکن است با ورود اشکال به امنیت ممکن است کوچک باشد، جلوگیری میکند. پژوهشگران دعوت شده به برنامه محدود هستند و ممکن است پژوهشگرانی با سابقه شناخته شده یا با مجموعه مهارت خاصی دعوت شوند که به نفع برنامه است.
نتایج و درسهایی که از برنامه خصوصی ما بدست آمد، به اندازه کافی ارزشمند بودند تا برنامه و رویکردهای ما به اندازه کافی بالغ بشوند تا برنامه بات بانتی ما را به پژوهشگران امنیتی سراسر جهان باز کنیم. در حالی که هنوز یک امنیتی مجدداً پیمایش انجام دادیم، سیاست را بازنویسی کردیم، دامنهها را با گسترش بیشتر مشخص کردیم و به اندازه کافی افراد از تیم امنیت را به عنوان ورودی اولیه گزارشات تخصیص دادیم که قرار بود بر اساس سایر برنامههای عمومی باشد.
همانطور که در تاریخ ژوئیه ۲۰۱۷ عمومی شدیم، یک نوسان مشهود در تعداد گزارشهای ورودی روی داد.
دروسی که از برنامه عمومی بدست آمد
اگرچه ما برای مدتی برنامه بات بانتی خود را در حالت خصوصی اجرا میکردیم قبل از عمومی شدن، اما تا اوایل سال ۲۰۱۸ بسیار بر روی ساختارها و فرآیندهای استاندارد برای مدیریت برنامه بات بانتی خود کار نکرده بودیم. در زیر، مهمترین نکات ۲۰۱۸ تا ژوئیه ۲۰۲۰ را در زمینه بهبودها، چالشها و نکات دیگر برای شما لیست کردهایم.
- زمان پاسخ: هیچ پژوهشگری نمیخواهد با تیم بات بانتی همکاری کند که زمانی که آنها در گزارش اشکال به برنامه وقت و انرژی صرف میکنند، آن را احترام نمیگذارد. در ابتدا ما فرایند رسمی در مورد زمان پاسخ را نداشتیم، زیرا میخواستیم تمام مهندسان امنیت را برای برداشت کردن گزارشها ترغیب کنیم. با این حال، ما به طور مداوم پاسخ اولیه را در چند ساعت ارائه میدهیم که به طور قابل توجهی کمتر از ۲۰ برنامه بات بانتی برتری است که در HackerOne اجرا میشود. در این زمینه بدانید که چه ساختارهای (یا غیرساختاری) برای تیم شما کار میکند تا بتوانید پاداشهای قابل توجهی را از زمان پاسخ سریع ببینید.
در آینده نگاه میکنیم
یکی از زمینههایی که تاکنون خیلی خوب عمل نکردهایم، اطمینان از افزایش نرخ شرکت در برنامه برنامههای هستهای موبایل خود است؛ برخی از نقاط دردی که پژوهشگران به ما در مورد آزمون برنامههایمان اطلاع دادهاند، عبارتند از:
ما هستیم