Preguntas y respuestas de HackerOne con Kathy Wang y James Ritchey de GitLab

Foto de Charles Deluvio en Unsplash

Singapur, @mcgallen #microwireinfo, 13 de diciembre de 2018 - HackerOne, la principal plataforma de seguridad impulsada por piratas informáticos, se sentó con Kathy Wang y James Ritchey de GitLab para hablar sobre el último Programa de recompensas de errores públicos de GitLab.

¿Quién es GitLab?

GitLab es una aplicación única para todo el ciclo de vida de DevOps, lo que hace que el desarrollo de software sea más fácil y eficiente, sin sacrificar la seguridad o la calidad. La organización vive y respira el código abierto, por lo que tiene sentido que aborden la ciberseguridad con la misma estrategia de código abierto. Después de ejecutar un programa privado de recompensas por errores y un programa público de divulgación de vulnerabilidades (VDP) en HackerOne, GitLab está lanzando hoy su primer programa público de recompensas por errores.

Entrevista

Nos sentamos con la directora de seguridad de GitLab, Kathy Wang, y el ingeniero senior de seguridad de aplicaciones, James Ritchey, para profundizar en la evolución del programa de GitLab a lo largo del tiempo, su decisión de hacer público su programa y cómo aprovechar la comunidad de HackerOne ha ayudado a encontrar y solucionar problemas de seguridad. con rapidez. Aquí hay un vistazo a la conversación:

P: ¿Por qué GitLab decidió iniciar un programa de recompensas por errores en primer lugar?
Kathy: En GitLab, todos pueden contribuir. Nuestro producto es de código abierto. Cuando GitLab inició el programa de recompensas por errores, el equipo de seguridad era muy nuevo, y este programa con HackerOne nos ayudó a escalar y resaltar dónde estaban las vulnerabilidades en nuestro producto para que pudiéramos solucionarlas más rápido.

P: ¿Por qué GitLab eligió a HackerOne para administrar su programa de recompensas por errores? ¿Por qué no solo se manejan ustedes mismos?
Kathy: No es fácil contratar personas excelentes en seguridad. La elección de HackerOne (y sus expertos) para administrar nuestro programa de recompensas por errores nos permitió concentrarnos en otras áreas necesarias para escalar nuestros esfuerzos de seguridad. Por ejemplo, pudimos concentrarnos en contratar profesionales de seguridad para nuestros equipos de seguridad de aplicaciones y operaciones de seguridad.

P: ¿GitLab ejecutó primero un programa piloto o privado y un VDP público? ¿Puede decirme cuánto tiempo se ejecutaron esos programas, cuántos errores dentro del alcance del proyecto se encontraron y si su éxito lo llevó a lanzar un programa oficial?
Kathy: Inicialmente, GitLab ejecutó un VDP público que no ofrecía recompensas por errores, que comenzó en 2014. GitLab introdujo un pequeño programa privado de recompensas por errores en diciembre de 2017. Desde su lanzamiento, GitLab VIP (solo por invitación, programa privado) y El VDP público ha resuelto casi 250 vulnerabilidades gracias a los más de 100 piratas informáticos participantes. El programa VIP de GitLab ha pagado $ 194,700 en recompensas. Consideramos que el programa privado de recompensas por errores y el VDP público fueron tremendamente exitosos y una buena capacitación para un eventual lanzamiento del programa público. Hoy, ambos programas se están consolidando en un programa público de recompensas por errores.

P: ¿Por qué el programa se está haciendo público ahora?
Kathy: Queríamos extender nuestros valores de contribución de código abierto a la divulgación responsable de vulnerabilidades de seguridad, así como a nuestra base de código fuente. Elegimos este plazo para hacer público el programa de recompensas de GitLab después de consultar con el equipo de HackerOne. Pudieron brindarnos métricas y logística relevantes para considerar al hacer público un programa, de modo que pudiéramos tomar una decisión informada. Estamos comprometidos con la colaboración con la comunidad de piratas informáticos y nos hemos estado preparando para facilitar esta iniciativa de colaboración desarrollando mejores procesos y mejorando los tiempos de respuesta con la automatización, de modo que los piratas informáticos quieran seguir colaborando con nosotros.

P: ¿Qué tiene de diferente el programa de recompensas por errores de GitLab y por qué es importante abrir su software a los piratas informáticos?
Kathy: GitLab es más transparente que la mayoría de las empresas. Desde mi perspectiva como profesional de la seguridad desde hace mucho tiempo, GitLab es la empresa más transparente para la que he trabajado. Actualmente hacemos públicos los detalles de las vulnerabilidades de seguridad 30 días después de que se hayan publicado las mitigaciones. No creo que muchas empresas hagan esto de manera constante, pero nosotros lo hacemos.

P: ¿Cómo ha afectado y afectará el programa de recompensas por errores a la estrategia de ciberseguridad más amplia de GitLab?
Kathy: Nos tomamos la seguridad muy en serio aquí en GitLab, y nuestro programa HackerOne Bounty es parte de nuestro enfoque para nuestra estrategia de defensa en profundidad. La plataforma GitLab también tiene capacidades de escaneo de seguridad integradas que alertan sobre vulnerabilidades de seguridad relacionadas con la dependencia de la biblioteca en el momento de la fusión del código. También llevamos a cabo revisiones de seguridad de aplicaciones internas. Todos los que han estado en la industria de la seguridad el tiempo suficiente saben que no hay una solución milagrosa en la seguridad: debe mitigar las vulnerabilidades desde múltiples ángulos.

P: Como plataforma de código abierto, ¿en qué se parece el fomento de las relaciones con la comunidad de hackers a la comunidad de desarrolladores?
James: Yo diría que fomentar las relaciones con la comunidad de hackers es más o menos lo mismo que fomentar las relaciones con la comunidad de desarrollo. Los puntos clave incluyen una comunicación transparente, generar confianza, respetar y valorar sus aportes y mostrar agradecimiento recompensando las contribuciones. El uso de la plataforma HackerOne nos ayuda a cultivar esas relaciones y resuena bien con nuestra misión de GitLab en la que todos pueden contribuir. Eso incluye contribuciones de errores de seguridad y no solo código.

P: ¿Cómo ha afectado la nube a la seguridad en GitLab? ¿Cómo ha ayudado la seguridad impulsada por piratas informáticos?
Kathy: GitLab es una empresa nativa de la nube. Literalmente, no hay una oficina física: todos los empleados son remotos, en más de 40 países diferentes. Todos los productos de terceros que utilizamos están basados ​​en SaaS. GitLab.com está alojado en Google Cloud. No existe un perímetro firme, desde una perspectiva de seguridad. Tenemos que centrarnos en la gestión de acceso y acreditación, así como en las revisiones de seguridad de las aplicaciones internas, por ejemplo. Trabajar con piratas informáticos ayuda al equipo a escalar, para que podamos centrarnos también en otras áreas.

P: ¿Cuál ha sido una de sus interacciones favoritas de hackers hasta la fecha? ¿Algún bicho favorito?
James: Siempre es un placer trabajar con @fransrosen. Siempre mantiene un comportamiento profesional y sus informes siempre son muy detallados al mostrar un impacto claro a través de sus exploits de prueba de concepto. Hay muchos errores interesantes que se han informado al programa hasta la fecha, pero uno de mis favoritos fue un hallazgo crítico de @nyangawa (Informe n. ° 378148). El pirata informático pudo omitir una expresión regular de nombre de archivo y crear un enlace simbólico en el directorio de carga de Gitlab. La vulnerabilidad también permitió al pirata informático eliminar un proyecto importado y crear un shell con el mismo permiso del usuario del sistema gitlab.

Kathy: También quiero llamar a @jobert, por las grandes contribuciones que ha hecho a nuestro programa. En general, nos ha impresionado el nivel de profesionalismo de la mayoría de los piratas informáticos con los que hemos trabajado.

P: ¿Qué consejo le daría a otras organizaciones sobre cómo iniciar un programa de recompensas por errores?
Kathy: El factor más importante al iniciar un programa de recompensas por errores es estar preparado desde una perspectiva de personal y asegurarse de tener la estructura de soporte para mitigar esos hallazgos. Eso significa tener ingenieros que puedan validar los hallazgos, clasificarlos e interactuar con los desarrolladores para ejecutar las mitigaciones. También contamos con ingenieros de automatización de seguridad en el equipo de Seguridad que han realizado un trabajo importante para ayudarnos a escalar al responder y clasificar los informes de hallazgos. Esto significa una mejor participación de los piratas informáticos, lo que ayuda a los piratas informáticos a mantenerse interesados ​​en nuestro programa. También hemos visto aumentos temporales significativos en los hallazgos reportados con cada aumento de recompensa, así que prepárate para eso.

P: Ahora, ¿qué sigue?
Kathy: Nuestro equipo de seguridad se ha más que quintuplicado durante el último año y continuaremos creciendo en 2019. Para fines de 2018, dejaremos de brindar soporte para TLS 1.0 y 1.1 para GitLab.com. También estamos implementando Zero Trust en 2019. También estamos planeando un programa de gamificación para los piratas informáticos HackerOne en nuestro programa para brindar recompensas interesantes (por ejemplo, botín exclusivo de GitLab exclusivo de HackerOne para los mejores piratas informáticos, etc.) más allá de los pagos de recompensa.

Si está interesado en obtener más información sobre el programa de GitLab o desea piratear, consulte la página del programa público de GitLab en https://hackerone.com/gitlab.

Sobre HackerOne
HackerOne es el # 1 plataforma de seguridad impulsada por piratas informáticos, ayudando a las organizaciones a encontrar y corregir vulnerabilidades críticas antes de que puedan ser explotadas. Más empresas de Fortune 500 y Forbes Global 1000 confían en HackerOne que en cualquier otra alternativa de seguridad impulsada por piratas informáticos. El Departamento de Defensa de EE. UU., General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, el Centro de Coordinación CERT y más de 1,200 organizaciones más se han asociado con HackerOne para resolver más de 86,000 vulnerabilidades y otorgar premios. más de $ 40 millones en bug bounties. HackerOne tiene su sede en San Francisco y oficinas en Londres, Nueva York, los Países Bajos y Singapur. Para obtener una visión completa de la industria basada en el mayor depósito de datos de vulnerabilidades reportados por piratas informáticos, descargue el Informe de seguridad impulsado por piratas informáticos 2018.

###