Allez, casse-le : Mendix et le programme de divulgation des vulnérabilités HackerOne | Mendix

Passer au contenu principal

Recherche du site

Contactez-nous
Essayer gratuitement

Allez, casse-le : Mendix et le programme de divulgation des vulnérabilités de HackerOne

La sécurité n'est jamais terminée.

Lorsque vous êtes dans une cadence de publication de logiciel régulière comme nous le sommes chez Mendix, rendre notre produit aussi sûr que possible est un objectif constant et perpétuel. La sécurité est une question de confiance. Il s'agit de nous faire confiance pour vous protéger, vous et vos clients. C'est pourquoi ce n'est jamais « terminé ».

Cette quête continue de confiance et de protection est la raison pour laquelle nous avons poursuivi tant de certifications dans un passé récentC'est aussi pourquoi nous avons ouvert le capot de notre produit à la plateforme de coordination des vulnérabilités de HackerOne et mettent en œuvre un divulgation de vulnérabilité programme (VDP).

En ouvrant notre produit à une équipe de sécurité participative composée de 500,000 XNUMX hackers éthiques, pentesters et chercheurs en cybersécurité parmi les plus brillants au monde, nous avons mis en place un processus de sécurité qui garantit la protection et la sécurité continues de vos données et de celles de vos clients. C'est pourquoi je suis heureux d'annoncer que, dès cette publication, notre le programme de divulgation des vulnérabilités est public.

Sécurité optimisée par les hackers

Ce qui est fascinant dans le monde de la cybersécurité, c'est que lorsque vous déchiffrez un code, vous essayez de décrypter la façon de penser d'un ingénieur. Vous essayez toutes sortes de méthodes pour y parvenir jusqu'à ce que le puzzle soit résolu. Même si nos mesures de sécurité internes sont excellentes, les tests peuvent parfois devenir une chambre d'écho s'ils sont toujours internes. Vous savez comment les ingénieurs travaillent, vous savez donc où chercher et, au lieu de résoudre les énigmes de différentes manières, vous les résolvez simplement d'une ou deux manières que vous connaissez.

Plus vous le cassez, plus vous pouvez le rendre sûr.

L'un des plus grands avantages de l'utilisation de la vaste communauté de hackers et d'experts en sécurité informatique de HackerOne est la diversité. Pour vraiment tester les limites de la sécurité de votre produit, vous devez constamment le briser pour l'améliorer. La diversité de la communauté de HackerOne garantit que votre produit peut être brisé de multiples façons. Plus vous le briserez, plus vous pourrez le rendre plus sûr.

fonctionnement

Selon HackerOne, 1/3 des pirates informatiques bien intentionnés qui découvrent des vulnérabilités de sécurité dans les logiciels d’entreprise ne les révèlent pas aux organisations, par crainte de répercussions personnelles. Nous accueillons favorablement cette information. Il y aura toujours des vulnérabilités, et elles seront toujours découvertes. Nous voulons nous assurer que les bonnes personnes les trouvent en premier. C’est pourquoi nous lançons le programme VDP avec HackerOne.

Le programme VDP nous permet de découvrir des actifs inconnus et d'établir des règles d'engagement. Il garantit également que nous restons conformes aux normes ISO et que nous disposons de plans de triage et de remédiation.

Nous participons au programme Bug Bounty de HackerOne. Cette initiative ouvre la Mendix Plateforme dans un environnement sécurisé et contrôlé destinée à une communauté de professionnels de la cybersécurité rigoureusement sélectionnés pour détecter les bugs et mettre en évidence les failles et vulnérabilités de sécurité. En échange, ces personnes reçoivent une rémunération et une reconnaissance pour leur travail.

L’avantage de travailler avec une grande plateforme de sécurité issue de la communauté est qu’elle fonctionne avec notre modèle de menace pour signaler les bugs et les menaces et aider à y répondre également.

Avec HackerOne dans notre arsenal de sécurité, nous découvrons et corrigeons les vulnérabilités avant qu'elles ne soient exposées au monde.

HackerOne nous permet de nous soumettre en permanence à des tests de sécurité. Les tests de pénétration peuvent prendre plusieurs jours pour être réalisés pour n'importe quel aspect de notre produit. Et même dans ce cas, vous ne mesurez qu'un instant précis, un instantané. Souvent, il s'agit simplement de petites équipes à la recherche de bugs de faible gravité. Grâce à la communauté massive de HackerOne, nous effectuons des contrôles de sécurité continus pour garantir des rapports de vulnérabilité en temps quasi réel tout au long du cycle de développement du logiciel.

Qu'est-ce que cela signifie pour vous?

Quel que soit le degré de réglementation de votre secteur d’activité ou la sensibilité de vos données, vous pouvez être assuré que toute fissure potentielle dans l’armure sera découverte et résolue avant même qu’elle ne devienne un problème.

L'utilisation de HackerOne nous permet de mettre en place davantage de contrôles et d'équilibres lors de la publication de logiciels. Nous pouvons appliquer des contrôles techniques à notre produit. Le plus intéressant, c'est que ce n'est pas parce qu'il y a plus de sécurité que nous ralentissons. Non, nous gardons la même vitesse pour que vous puissiez obtenir les mises à jour et les fonctionnalités dont vous avez besoin.

Briseurs et créateurs

Quand j'étais jeune, le film de James Bond GoldenEye a conquis mon cœur. Je suis tombée amoureuse du monde des agents secrets et de l'acquisition d'informations ultra-secrètes. Depuis que j'ai vu ce film, j'ai fait mes armes en révélant (de manière éthique) des failles de sécurité ; j'ai obtenu un diplôme en informatique ; je continue à regarder des films d'espionnage.

Travailler avec HackerOne me procure une immense fierté. D'une part, je sais que notre Low-code La plateforme est l'une des plus sécurisées au monde. De plus, je peux redonner à une communauté qui me tient à cœur. Grâce à HackerOne, les hackers et les professionnels de l'infosec qui recherchent un emploi, de nouveaux défis et énigmes à résoudre, qui ont des difficultés à trouver des postes au sein d'entreprises ou qui souhaitent simplement travailler en freelance, peuvent s'établir dans le monde de la cybersécurité et gagner un salaire en le faisant. Je suis très heureux de pouvoir exploiter le talent de la communauté des hackers tout en soutenant Mendix clients et créateurs.

Les tests d'intrusion sont souvent un jeu réactif. Vous construisez quelque chose, vous le testez, vous le corrigez. Ce n'est pas évolutif. Avec HackerOne, non seulement nous pouvons effectuer des tests d'intrusion en continu par des tiers, mais nous sommes également en mesure de mettre au défi notre équipe de R&D de réfléchir constamment de manière plus proactive à la sécurité et d'insuffler un sentiment de protection des données dans chaque octet de notre produit.

Une autre façon de penser

Les gens pensent qu'innover signifie créer quelque chose de nouveau. Mais en réalité, il s'agit de penser différemment.

Tout le monde dans le monde devrait mettre en œuvre un programme de divulgation responsable pour garantir la sécurité des données.

La sécurité n'est jamais terminée. Il est toujours important de rester vigilant et de continuer à penser différemment. C'est pourquoi nous avons opté pour public avec notre VDPTout le monde dans le monde devrait mettre en œuvre un programme de divulgation responsable pour garantir la sécurité des données.

Enfin, il existe une généralisation selon laquelle tous les pirates informatiques sont malveillants. Mais, en fin de compte, le monde est un endroit agréable. Le VDP, alimenté par des hackers éthiques et issu de la communauté, est une étape pour garantir que vos données et celles de vos clients sont protégées. Toujours.

Même s'il faut casser des choses pour y arriver.

Choisissez votre langue