Fragen und Antworten zu HackerOne Mit Kathy Wang und James Ritchey von GitLab

Foto von Charles Deluvio auf Unsplash

Singapur, @mcgallen #microwireinfo, 13. Dezember 2018 - HackerOne, die führende von Hackern betriebene Sicherheitsplattform, setzte sich mit Kathy Wang und James Ritchey von GitLab zusammen, um über das neueste Public Bug Bounty-Programm von GitLab zu sprechen.

Wer ist GitLab?

GitLab ist eine einzelne Anwendung für den gesamten DevOps-Lebenszyklus, die die Softwareentwicklung einfacher und effizienter macht, ohne die Sicherheit oder Qualität zu beeinträchtigen. Die Organisation lebt und atmet Open Source, daher ist es nur sinnvoll, sich der Cybersicherheit mit derselben Open Source-Strategie zu nähern. Nachdem GitLab ein privates Bug-Bounty-Programm und ein Public Vulnerability Disclosure-Programm (VDP) auf HackerOne ausgeführt hat, startet GitLab heute sein erstes öffentliches Bug-Bounty-Programm.

Interview

Wir haben uns mit der Sicherheitsdirektorin von GitLab, Kathy Wang, und dem Senior Application Security Engineer, James Ritchey, zusammengesetzt, um die Entwicklung des GitLab-Programms im Laufe der Zeit, ihre Entscheidung, das Programm an die Öffentlichkeit zu bringen, und die Nutzung der HackerOne-Community zur Suche und Behebung von Sicherheitsproblemen zu untersuchen schnell. Hier ist ein Blick auf das Gespräch:

F: Warum hat GitLab überhaupt beschlossen, ein Bug-Bounty-Programm zu starten?
Kathy: Bei GitLab kann jeder einen Beitrag leisten. Unser Produkt ist Open Source. Als GitLab das Bug-Bounty-Programm startete, war das Sicherheitsteam sehr neu, und dieses Programm mit HackerOne half uns, die Schwachstellen in unserem Produkt zu skalieren und hervorzuheben, damit wir sie schneller beheben konnten.

F: Warum hat GitLab HackerOne ausgewählt, um sein Bug Bounty-Programm zu verwalten? Warum verwalten Sie sich nicht nur selbst?
Kathy: Es ist nicht einfach, großartige Sicherheitskräfte einzustellen. Durch die Auswahl von HackerOne (und deren Experten) zur Verwaltung unseres Bug-Bounty-Programms konnten wir uns auf andere Bereiche konzentrieren, die zur Skalierung unserer Sicherheitsanstrengungen erforderlich sind. Zum Beispiel konnten wir uns darauf konzentrieren, Sicherheitspraktiker für unsere Teams für Anwendungssicherheit und Sicherheitsoperationen einzustellen.

F: Hat GitLab zuerst ein Pilot- oder privates Programm und ein öffentliches VDP ausgeführt? Können Sie mir sagen, wie lange diese Programme ausgeführt wurden, wie viele Fehler im Projektumfang gefunden wurden und ob Sie aufgrund ihres Erfolgs ein offizielles Programm gestartet haben?
Kathy: Anfangs hat GitLab ein öffentliches VDP betrieben, das keine Bug Bounties anbot, das 2014 gestartet wurde. GitLab hat im Dezember 2017 ein kleines privates Bug Bounty-Programm eingeführt. Seit dem Start hat GitLab VIP (nur Einladung, privates Programm) und Das öffentliche VDP hat dank der über 250 teilnehmenden Hacker fast 100 Schwachstellen behoben. Das GitLab VIP-Programm hat Kopfgelder in Höhe von 194,700 USD ausgezahlt. Wir betrachteten das private Bug Bounty-Programm und das öffentliche VDP als äußerst erfolgreich und als gutes Training für einen eventuellen Start des öffentlichen Programms. Heute werden beide Programme zu einem öffentlichen Bug-Bounty-Programm zusammengefasst.

F: Warum geht das Programm jetzt an die Öffentlichkeit?
Kathy: Wir wollten unsere Open-Source-Beitragswerte auf die verantwortungsvolle Offenlegung von Sicherheitslücken sowie auf unsere Quellcodebasis ausweiten. Wir haben diesen Zeitraum ausgewählt, um das GitLab-Kopfgeldprogramm nach Rücksprache mit dem HackerOne-Team an die Öffentlichkeit zu bringen. Sie konnten uns relevante Metriken und Logistik zur Verfügung stellen, die bei der Veröffentlichung eines Programms berücksichtigt werden mussten, damit wir eine fundierte Entscheidung treffen konnten. Wir sind entschlossen, mit der Hacker-Community zusammenzuarbeiten, und haben uns darauf vorbereitet, diese Kooperationsinitiative durch die Entwicklung besserer Prozesse und die Verbesserung der Reaktionszeiten durch Automatisierung zu ermöglichen, sodass Hacker weiterhin mit uns zusammenarbeiten möchten.

F: Was ist anders am Git Bab Bug Bounty Programm und warum ist es wichtig, Ihre Software für Hacker zu öffnen?
Kathy: GitLab ist transparenter als die meisten Unternehmen. Aus meiner Sicht als langjähriger Sicherheitspraktiker ist GitLab das transparenteste Unternehmen, für das ich je gearbeitet habe. Derzeit veröffentlichen wir die Details zu Sicherheitslücken 30 Tage nach Veröffentlichung der Schadensbegrenzungen. Ich denke nicht, dass viele Unternehmen dies konsequent tun, aber wir tun es.

F: Wie hat und wird sich das Bug-Bounty-Programm auf die umfassendere Cybersicherheitsstrategie von GitLab auswirken?
Kathy: Wir nehmen die Sicherheit hier bei GitLab sehr ernst, und unser HackerOne Bounty-Programm ist Teil unseres Ansatzes für unsere tiefgreifende Verteidigungsstrategie. Die GitLab-Plattform verfügt außerdem über integrierte Sicherheits-Scan-Funktionen, die zum Zeitpunkt der Code-Zusammenführung auf Sicherheitslücken im Zusammenhang mit Bibliotheksabhängigkeiten hinweisen. Wir führen auch interne Sicherheitsüberprüfungen für Anwendungen durch. Jeder, der lange genug in der Sicherheitsbranche tätig war, weiß, dass die Sicherheit kein Patentrezept ist - Sie müssen Schwachstellen aus verschiedenen Blickwinkeln abmildern.

F: Wie ist die Pflege der Beziehungen zur Hacker-Community als Open-Source-Plattform ähnlich wie bei der Entwickler-Community?
James: I’d say fostering relationships with the hacker community is more or less the same as fostering relationships with the development community. Key points include transparent communication, building trust, respecting and valuing their input, and showing appreciation by rewarding contributions. Using the HackerOne platform helps us cultivate those relationships, and it resonates well with our GitLab mission that everyone can contribute. That includes security bug contributions and not just code.

F: Wie hat sich die Cloud auf die Sicherheit bei GitLab ausgewirkt? Wie hat Hacker-Sicherheit geholfen?
Kathy: GitLab ist ein Cloud-natives Unternehmen. Es gibt buchstäblich kein physisches Büro - alle Mitarbeiter sind in über 40 verschiedenen Ländern entfernt. Jedes von uns verwendete Produkt eines Drittanbieters basiert auf SaaS. GitLab.com wird in Google Cloud gehostet. Aus Sicherheitsgründen gibt es keinen festen Umfang. Wir müssen uns beispielsweise auf das Zugriffs- und Anmeldeinformationsmanagement sowie auf interne Überprüfungen der Anwendungssicherheit konzentrieren. Die Arbeit mit Hackern hilft dem Team bei der Skalierung, sodass wir uns auch auf andere Bereiche konzentrieren können.

F: Was war bisher eine Ihrer Lieblings-Hacker-Interaktionen? Irgendwelche Lieblingsfehler?
James: @fransrosen is always a pleasure to work with. He always maintains a professional demeanor and his reports are always very detailed by showing clear impact through his proof of concept exploits. There are many interesting bugs that have been reported to the program to-date, but one of my favorites was a critical finding from @nyangawa (Report #378148). The hacker was able to bypass a filename regular expression and create a symbolic link in Gitlab upload directory. The vulnerability also allowed.the hacker to delete an imported project and create a shell with the same permission of the system gitlab user.

Kathy: Ich möchte auch @jobert anrufen, für die großartigen Beiträge, die er zu unserem Programm geleistet hat. Insgesamt waren wir beeindruckt von der Professionalität der meisten Hacker, mit denen wir zusammengearbeitet haben.

F: Welchen Rat würden Sie anderen Organisationen zum Starten eines Bug-Bounty-Programms geben?
Kathy: Der größte Faktor beim Starten eines Bug-Bounty-Programms besteht darin, aus personeller Sicht vorbereitet zu sein und sicherzustellen, dass Sie über die Support-Struktur verfügen, um diese Ergebnisse zu mildern. Das bedeutet, Ingenieure zu haben, die die Ergebnisse validieren, analysieren und mit Entwicklern zusammenarbeiten können, um die Abhilfemaßnahmen durchzuführen. Wir haben auch Sicherheitsautomatisierungsingenieure im Sicherheitsteam, die erhebliche Anstrengungen unternommen haben, um uns bei der Beantwortung und Prüfung der Ergebnisberichte zu helfen. Dies bedeutet ein besseres Engagement der Hacker, wodurch Hacker weiterhin an unserem Programm interessiert sind. Wir haben auch einen signifikanten vorübergehenden Anstieg der gemeldeten Ergebnisse mit jedem Kopfgeldanstieg festgestellt. Seien Sie also darauf vorbereitet.

F: Nun, was kommt als nächstes?
Kathy: Unser Sicherheitsteam hat sich im letzten Jahr mehr als verfünffacht und wir werden 2019 weiter wachsen. Bis Ende 2018 werden wir die Unterstützung für TLS 1.0 und 1.1 für GitLab.com einstellen. Wir führen Zero Trust auch 2019 ein. Wir planen auch ein Gamification-Programm für HackerOne-Hacker in unserem Programm, um über die Kopfgeldzahlungen hinaus interessante Belohnungen (z. B. exklusiven GitLab-Swag nur für HackerOne-Top-Hacker usw.) bereitzustellen.

Wenn Sie mehr über das Programm von GitLab erfahren möchten oder Hacking betreiben möchten, besuchen Sie die Seite mit dem öffentlichen Programm von GitLab unter https://hackerone.com/gitlab.

Über HackerOne
HackerOne ist die Nummer 1 Hacker-basierte SicherheitsplattformDies hilft Unternehmen dabei, kritische Schwachstellen zu finden und zu beheben, bevor sie ausgenutzt werden können. Mehr Fortune 500- und Forbes Global 1000-Unternehmen vertrauen HackerOne als jede andere von Hackern betriebene Sicherheitsalternative. Das US-Verteidigungsministerium, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, das CERT Coordination Center und über 1,200 andere Organisationen haben sich mit HackerOne zusammengetan, um über 86,000 Schwachstellen und Auszeichnungen zu beheben über 40 Mio. USD in Fehler Kopfgeld. HackerOne hat seinen Hauptsitz in San Francisco und Niederlassungen in London, New York, den Niederlanden und Singapur. Laden Sie das herunter, um einen umfassenden Überblick über die Branche zu erhalten, die auf dem größten Repository von von Hackern gemeldeten Schwachstellendaten basiert Der Hacker-Powered Security Report 2018.

###