Programme HackerOne d’ONLYOFFICE : Actualités de l’été 2023
Depuis 2022, notre programme HackerOne s’étend et s’accélère. Nous vous invitons à découvrir les statistiques de cette année, à prendre connaissance d’un nouvel outil – ONLYOFFICE DocSpace, et à apprendre comment tester les solutions ONLYOFFICE via HackerOne.
À propos du programme de “bug bounty” d’ONLYOFFICE
En 2021, nous avons lancé le programme de primes aux bugs ONLYOFFICE sur HackerOne, dans le but de stimuler nos efforts d’amélioration de la sécurité en impliquant une large communauté de hackers professionnels afin de tester les solutions ONLYOFFICE.
Comment cela fonctionne-t-il ? Les spécialistes des vulnérabilités actifs sur la plateforme sont encouragés à effectuer une variété de tests facilités sur une gamme de nos solutions dans le cadre du programme. En retour, nous versons des primes en fonction de la gravité du problème et nous le résolvons dans un délai contrôlé.
Actuellement, notre programme reste privé afin de mieux contrôler la gestion des vulnérabilités à ce stade initial. Le rapport est basé sur des invitations avec des quotas d’invitations et une sélection des candidats. Dans l’avenir, nous prévoyons d’ouvrir le programme à l’ensemble de la communauté et de laisser entrer le flux organique de hackers.
Lisez notre billet de blog sur le lancement du programme pour en savoir plus sur les éléments essentiels du programme de primes aux bugs d’ONLYOFFICE.
Aperçu du programme 2023
Cette année, nous avons reçu 30 rapports valides de la part des participants au programme, et nous avons résolu 34 demandes (y compris certains rapports de l’année dernière), en versant un total de 10 200 dollars de primes.
Sur l’ensemble des rapports résolus, nous avons réussi à éliminer 8 vulnérabilités critiques, 9 vulnérabilités de haute importance et 17 vulnérabilités de moindre importance, ce que nous considérons comme un succès compte tenu du volume de rapports de cette période.
Nouvelle application : ONLYOFFICE DocSpace
Depuis le lancement d’ONLYOFFICE DocSpace au printemps 2023, nous observons un grand intérêt de la part de nos utilisateurs pour tester la solution afin de découvrir et corriger les vulnérabilités existantes. Bien que nous ayons déjà accepté quelques rapports de notre groupe HackerOne, nous avons décidé de rendre cela officiel et d’ajouter le repo DocSpace à la portée de notre programme.
Nous invitons les nouveaux hackers et les anciens participants à relever un nouveau défi et à mettre à l’épreuve le code du repo DocSpace de ONLYOFFICE. Lisez ci-dessous pour savoir comment participer.
Comment participer
Nous poursuivons notre programme de primes, en aspirant à le préparer pour un lancement public. Pour l’instant, nous vous invitons à vous inscrire au programme privé.
Envoyez-nous un email intitulé ONLYOFFICE HackerOne bounty à marketing@onlyoffice.com et décrivez ce que vous avez trouvé avec votre nom d’utilisateur. Vous recevrez une invitation dès que l’équipe de sécurité d’ONLYOFFICE aura donné son accord.