壊してみよう: Mendix および HackerOne 脆弱性開示プログラム | Mendix

メインコンテンツへスキップ

サイト内検索

営業担当者へ連絡
無料でお試し

壊してみよう: Mendix HackerOne脆弱性開示プログラム

セキュリティは決して終わりません。

私たちのように定期的なソフトウェアリリースサイクルで Mendix弊社の製品を可能な限り安全にすることは、常に変わらぬ目標です。セキュリティとは信頼です。お客様とお客様の顧客を守るために弊社を信頼していただくことです。だからこそ、セキュリティは決して「完了」しません。

信頼と保護を常に追求することが、私たちが追求してきた理由です。 近年の多くの認定脆弱性調整プラットフォームの製品フードを開けた理由もこれです。 HackerOne そして、 脆弱性の開示 プログラム(VDP)。

世界で最も優秀な倫理的なハッカー、ペンテスター、サイバーセキュリティ研究者500,000万人で構成されるクラウドソースのセキュリティに当社製品を開放することで、お客様とお客様の顧客のデータの継続的な保護と安全を確保するセキュリティプロセスを導入しました。そのため、この公開時点で、当社の 脆弱性開示プログラムは公開されています.

ハッカーによるセキュリティ

サイバー セキュリティの世界が魅力的なのは、コードを解読するときに、エンジニアの考え方を破ろうとしている点です。パズルが解けるまで、あらゆる方法を試します。社内のセキュリティ対策は優れていますが、テストが常に社内向けだと、反響室になってしまうことがあります。エンジニアの作業方法はわかっているので、どこを調べればよいかがわかっており、さまざまな方法でパズルを解くのではなく、自分が知っている 1 つか 2 つの方法で解くのです。

壊せば壊すほど、より安全にすることができます。

HackerOne のハッカーや情報セキュリティの専門家からなる大規模なコミュニティを利用することの最大の利点の 1 つは、多様性です。製品のセキュリティの限界を実際にテストするには、常にセキュリティを破って改善する必要があります。HackerOne のコミュニティの多様性により、さまざまな方法で製品を破ることができます。破れば破るほど、より安全にすることができます。

仕組み

HackerOne によると、企業ソフトウェアのセキュリティ脆弱性を発見した善意のハッカーの 1 分の 3 は、個人的な影響を恐れて、組織にその脆弱性を開示しません。私たちはこの情報を歓迎します。脆弱性は常に存在し、常に発見されます。私たちは、適切な人が最初に脆弱性を発見できるようにしたいと考えています。それが、HackerOne と共同で VDP を開始する理由です。

VDP プログラムにより、未知の資産を発見し、関与のルールを確立できます。また、ISO 標準に準拠し、トリアージおよび修復計画を確実に実施できます。

私たちはHackerOneのバグバウンティプログラムに参加しています。この取り組みは、 Mendix 厳格に審査されたサイバーセキュリティ専門家のコミュニティに、安全で管理された環境のプラットフォームを提供し、バグを発見し、セキュリティ上の脆弱性やエクスプロイトを指摘します。その見返りとして、これらの個人は報酬と仕事に対する評価を受け取ります。

大規模なコミュニティベースのセキュリティ プラットフォームと連携する利点は、当社の脅威モデルと連携してバグや脅威を報告し、それらへの対応も支援してくれることです。

当社のセキュリティ対策に HackerOne を導入することで、脆弱性が世間に公開される前に発見し、修正することができます。

HackerOne により、セキュリティ テストを継続的に実施できます。製品の特定の側面に対する侵入テストは、完了までに数日かかることがあります。それでも、測定するのは一瞬のスナップショットにすぎません。多くの場合、小規模なチームが重大度の低いバグを探すだけです。HackerOne の大規模なコミュニティにより、ソフトウェア開発ライフサイクル全体にわたってほぼリアルタイムの脆弱性レポートを確実に提供するために、セキュリティ チェックを継続的に実施しています。

これはあなたのために何を意味するのでしょうか?

業界がどれほど規制されていても、データがどれほど機密性が高くても、問題になる前に潜在的な脆弱性が発見され、解決されるので安心です。

HackerOne を使用すると、ソフトウェアをリリースするときに、より多くのチェックとバランスを実施できます。製品に技術的な制御を適用できます。最も良い点は、セキュリティが強化されたからといって速度が落ちるわけではないことです。必要な更新と機能を入手できるよう、速度は変わりません。

ブレーカーとメーカー

私が子供の頃、ジェームズ・ボンドの映画は ゴールデンアイ この映画は私の心をつかみました。私は秘密諜報員の世界と極秘情報の入手に夢中になりました。その映画を見てから現在まで、私は(倫理的に)セキュリティの欠陥を明らかにすることに取り組んできました。また、コンピューターサイエンスの学位も取得し、スパイ映画を観続けています。

HackerOneで働くことは私にとって大きな誇りです。まず、私たちの ローコード このプラットフォームは、地球上で最も安全なものの 1 つです。また、私にとって大切なコミュニティに貢献することができます。HackerOne を通じて、仕事を探している、新しい課題や解決すべきパズルを探している、企業内での役割を見つけるのに苦労している、または単にフリーランスになりたいハッカーや情報セキュリティの専門家は、サイバーセキュリティの世界で地位を確立し、それで給料を得ることができます。ハッカー コミュニティの才能を活用しながら、サポートできることをとても嬉しく思います。 Mendix 顧客とメーカー。

侵入テストは、多くの場合、受動的なゲームです。何かを構築し、テストし、修正します。これではスケーラブルではありません。HackerOne を使用すると、継続的なサードパーティの侵入テストを行うことができるだけでなく、R&D チームにセキュリティについて常に積極的に考えるように促し、製品のすべてのバイトにデータ保護の感覚を浸透させることもできます。

別の考え方

イノベーションとは何か新しいものを作ることだとよく考えられます。しかし、実際には違う考え方をすることです。

世界中の誰もが、データの安全性を確保するために責任ある開示プログラムを実施する必要があります。

セキュリティは決して終わりません。常に警戒を怠らず、異なる考え方を持ち続けることが重要です。それが私たちが VDPで公開世界中の誰もが、データの安全性を確保するために責任ある開示プログラムを実施する必要があります。

最後に、すべてのハッカーは悪意を持っているという一般論があります。しかし、究極的には、世界は良い場所です。倫理的なハッカーが主導し、コミュニティから提供される VDP は、あなたとあなたの顧客のデータが常に保護されるようにするためのステップです。

たとえそこにたどり着くために何かを壊さなければならないとしても。

言語を選択してください