Sicherheit steht bei der Entwicklung von Hotjar an erster Stelle. Wir haben sowohl interne als auch externe Sicherheitskontrollpunkte in die Entwicklungspipeline der Hotjar-Anwendung eingebaut.
Hotjar-Codierungsrichtlinien
Hotjar hat sich zum Ziel gesetzt, seinen Kunden mit kleinen, iterativen Updates, die wirkungsvolle und sinnvolle Änderungen bringen, einen Mehrwert zu bieten. Unsere Kodierungsrichtlinien geben unseren Ingenieuren die Möglichkeit, mutige Änderungen vorzunehmen, ohne dabei den Fokus und das Verständnis für Sicherheitsaspekte zu verlieren.
Hotjars Änderungskontrollprozess ist das Mittel, mit dem wir unseren Sicherheitsfokus aufrechterhalten. Zu diesem Zweck haben wir einige zentrale Richtlinien für die Kodierung implementiert, darunter:
- Atomare Änderungssätze. Wir übertragen, wenn die Aufgabe abgeschlossen ist.
- Kommentierung der Methodik. Ein Kommentar, der besagt "erhöhe I um 1", ist bestenfalls nutzlos, schlimmstenfalls veraltet und falsch. Wir dokumentieren immer die Absicht - warum wir das tun.
- Halten Sie Funktionen kurz. Jede Funktion sollte eine Sache und nur eine Sache tun.
- Halten Sie Dinge privat. Kapselung ist eine großartige Sache. Machen Sie die Schnittstelle eines Moduls so klein wie möglich und öffentlich zugänglich.
- Der Änderungsmanagementprozess von Hotjar führt die Entwicklung durch mehrere Kontrollpunkte, an denen Änderungen von der Entwicklungs- zur Produktionsumgebung übertragen werden.
- Eine Änderung wird initiiert, sobald die Story in einen Sprint eintritt.
- Eine umfassende Reihe automatisierter Tests wird von unserem Continuous Integration System gegen jede Revision, die ein Release Candidate ist, durchgeführt.
Die Überprüfung des Codes wird von einem anderen Entwickler als demjenigen durchgeführt, der die Änderung implementiert. In der Regel handelt es sich dabei um das gleiche Team, es sei denn, es ist das Fachwissen eines anderen Teams erforderlich. Bei größeren Änderungen ziehen wir oft mehr als einen Prüfer hinzu. Wenn alle Tests erfolgreich sind und der Prüfer mit dem Pull Request zufrieden ist, kann er ihn genehmigen. Dadurch kann der Pull Request später in unseren Hauptzweig eingefügt werden.
- Ein Entwickler stellt sich in die Warteschlange, um seine Änderung bereitzustellen. Unser Build-System verwaltet, wer zu welchem Zeitpunkt in jeder Umgebung deployen darf, um sicherzustellen, dass die Deployments einheitlich gehandhabt werden.
- Jeder einzelne Dienst wird zunächst in einer Staging-Umgebung bereitgestellt, wo eine abschließende manuelle Überprüfung stattfinden kann.
- Sobald die Überprüfung in der Staging-Umgebung abgeschlossen ist, fährt Hotjar mit der Bereitstellung in der Produktionsumgebung fort. Wenn alles wie erwartet aussieht und keine Warnungen auftreten, wird die Pull-Anfrage mit dem Hauptzweig zusammengeführt und die Story geschlossen.
Penetrationstests
Hotjar arbeitet mit branchenführenden Beratungsunternehmen zusammen, um Sicherheitsbewertungen und Penetrationstests durch Dritte durchzuführen. Das Ziel dieser Bewertungen ist es, Hotjars eigene Sicherheitsmethoden mit einer "externen" Perspektive zu validieren.
- Die Bewertungen werden mindestens einmal jährlich durchgeführt.
- Die Ergebnisse werden allen Teammitgliedern mitgeteilt, wobei die Abhilfemaßnahmen entsprechend der Kritikalität der entdeckten Probleme überwacht werden.
- Die letzte externe Sicherheitsbewertung wurde am: 1. September 2022.
Bug Bounty Programm
Keine Technologie ist perfekt, und Hotjar ist davon überzeugt, dass die Zusammenarbeit mit qualifizierten Sicherheitsforschern auf der ganzen Welt von entscheidender Bedeutung für die Identifizierung von Schwachstellen in jeder Technologie ist. Hotjar fördert die verantwortungsvolle Offenlegung von Fehlern durch das HackerOne-Programm.
Unser Programm gibt uns die Möglichkeit, unsere Anwendung kontinuierlich zu überwachen und zu überprüfen und gegebenenfalls Risiken zu identifizieren und zu beheben.
Wenn Sie glauben, ein Sicherheitsproblem in unserem Produkt gefunden zu haben, empfehlen wir Ihnen, sich an unser Support-Team zu wenden, um eine Einladung zum Programm zu erhalten. Zurück zum Anfang