HackerOne Q&A avec Kathy Wang et James Ritchey de GitLab

Photo de Charles Deluvio sur Unsplash

Singapour, @mcgallen #microwireinfo, 13 décembre 2018 - HackerOne, la principale plate-forme de sécurité propulsée par les hackers, s'est entretenue avec Kathy Wang et James Ritchey de GitLab pour parler du dernier programme Public Bug Bounty de GitLab.

Qui est GitLab?

GitLab est une application unique pour l'ensemble du cycle de vie DevOps, rendant le développement logiciel plus facile et plus efficace, sans sacrifier la sécurité ou la qualité. L'organisation vit et respire l'open source, il est donc logique qu'elle aborde la cybersécurité avec la même stratégie open source. Après avoir exécuté un programme de prime de bogue privé et un programme de divulgation publique de vulnérabilité (VDP) sur HackerOne, GitLab lance aujourd'hui son premier programme de prime de bogue public.

L'entretien

Nous nous sommes entretenus avec la directrice de la sécurité de GitLab, Kathy Wang et l'ingénieur principal en sécurité des applications, James Ritchey, pour plonger dans l'évolution du programme de GitLab au fil du temps, leur décision de rendre public leur programme et comment tirer parti de la communauté de HackerOne a aidé à trouver et à résoudre les problèmes de sécurité. rapidement. Voici un aperçu de la conversation:

Q: Pourquoi GitLab a-t-il décidé de démarrer un programme de prime de bogue en premier lieu?
Kathy: Chez GitLab, tout le monde peut contribuer. Notre produit est open source. À l'époque où GitLab a lancé le programme de bug bounty, l'équipe de sécurité était très nouvelle, et ce programme avec HackerOne nous a aidés à évoluer et à mettre en évidence les vulnérabilités de notre produit afin que nous puissions les corriger plus rapidement.

Q: Pourquoi GitLab a-t-il choisi HackerOne pour gérer son programme de bug bounty? Pourquoi ne vous gérez-vous pas simplement vous-même?
Kathy: Ce n'est pas facile d'embaucher des gens formidables dans le domaine de la sécurité. Le choix de HackerOne (et de ses experts) pour gérer notre programme de bug bounty nous a permis de nous concentrer sur d'autres domaines nécessaires pour étendre nos efforts de sécurité. Par exemple, nous avons pu nous concentrer sur l'embauche de spécialistes de la sécurité pour nos équipes de sécurité des applications et des opérations de sécurité.

Q: GitLab a-t-il d'abord exécuté un programme pilote ou privé et un VDP public? Pouvez-vous me dire combien de temps ces programmes ont fonctionné, combien de bogues dans le cadre du projet ont été trouvés et si son succès vous a conduit à lancer un programme officiel?
Kathy: Initialement, GitLab exécutait un VDP public qui n'offrait pas de primes de bogues, qui a débuté en 2014. GitLab a introduit un petit programme de primes de bogues privé en décembre 2017. Depuis son lancement, le GitLab VIP (programme privé sur invitation uniquement) et le VDP public a résolu près de 250 vulnérabilités grâce aux plus de 100 hackers participants. Le programme VIP GitLab a versé 194,700 XNUMX $ en primes. Nous avons considéré que le programme privé de bug bounty et le VDP public étaient extrêmement réussis et une bonne formation pour un éventuel lancement de programme public. Aujourd'hui, les deux programmes sont en cours de consolidation en un seul programme public de bugs bounty.

Q: Pourquoi le programme devient-il public maintenant?
Kathy: Nous voulions étendre nos valeurs de contribution open source à la divulgation responsable des vulnérabilités de sécurité, ainsi qu'à notre base de code source. Nous avons choisi cette période pour rendre public le programme de primes GitLab après avoir consulté l'équipe de HackerOne. Ils ont été en mesure de nous fournir des paramètres et une logistique pertinents à prendre en compte lors de l'adoption d'un programme public, afin que nous puissions prendre une décision éclairée. Nous nous engageons à collaborer avec la communauté des hackers, et nous nous préparons à faciliter cette initiative collaborative en développant de meilleurs processus et en améliorant les temps de réponse grâce à l'automatisation, afin que les hackers veuillent continuer à collaborer avec nous.

Q: Qu'est-ce qui différencie le programme de bug bounty de GitLab et pourquoi est-il important d'ouvrir votre logiciel aux pirates informatiques?
Kathy: GitLab est plus transparent que la plupart des entreprises. De mon point de vue en tant que praticien de la sécurité de longue date, GitLab est l'entreprise la plus transparente pour laquelle j'ai travaillé. Nous rendons actuellement publics les détails des vulnérabilités de sécurité 30 jours après la publication des atténuations. Je ne pense pas que de nombreuses entreprises le font de manière cohérente, mais nous le faisons.

Q: Comment le programme de bug bounty a-t-il et aura-t-il un impact sur la stratégie globale de cybersécurité de GitLab?
Kathy: Nous prenons la sécurité très au sérieux ici chez GitLab, et notre programme HackerOne Bounty fait partie de notre approche pour notre stratégie de défense en profondeur. La plate-forme GitLab dispose également de capacités d'analyse de sécurité intégrées qui alertent sur les vulnérabilités de sécurité liées aux dépendances de la bibliothèque au moment de la fusion de code. Nous effectuons également des revues internes de sécurité des applications. Tous ceux qui travaillent dans le secteur de la sécurité depuis assez longtemps savent qu'il n'y a pas de solution miracle en matière de sécurité - vous devez atténuer les vulnérabilités sous plusieurs angles.

Q: En tant que plate-forme open source, en quoi la promotion des relations avec la communauté des hackers est-elle similaire à la communauté des développeurs?
James: Je dirais que favoriser les relations avec la communauté des hackers équivaut plus ou moins à favoriser les relations avec la communauté du développement. Les points clés comprennent une communication transparente, l'établissement de la confiance, le respect et la valorisation de leur contribution, et la démonstration de reconnaissance en récompensant les contributions. L'utilisation de la plate-forme HackerOne nous aide à cultiver ces relations, et cela résonne bien avec notre mission GitLab à laquelle tout le monde peut contribuer. Cela inclut les contributions aux bogues de sécurité et pas seulement le code.

Q: Quel a été l'impact du cloud sur la sécurité chez GitLab? Comment la sécurité alimentée par les hackers a-t-elle aidé?
Kathy: GitLab est une entreprise native du cloud. Il n'y a littéralement pas de bureau physique - tous les employés sont distants, dans plus de 40 pays différents. Chaque produit tiers que nous utilisons est basé sur SaaS. GitLab.com est hébergé sur Google Cloud. Il n'y a pas de périmètre ferme, du point de vue de la sécurité. Nous devons nous concentrer sur la gestion des accès et des identifiants, ainsi que sur les examens de la sécurité des applications internes, par exemple. Travailler avec des hackers aide l'équipe à évoluer, afin que nous puissions également nous concentrer sur d'autres domaines.

Q: Quelle a été à ce jour l'une de vos interactions préférées avec les hackers? Des bugs préférés?
James: @fransrosen est toujours un plaisir de travailler avec. Il maintient toujours un comportement professionnel et ses rapports sont toujours très détaillés en montrant un impact clair à travers ses exploits de preuve de concept. Il existe de nombreux bogues intéressants qui ont été rapportés au programme à ce jour, mais l'un de mes favoris était une découverte critique de @nyangawa (rapport n ° 378148). Le pirate a pu contourner une expression régulière de nom de fichier et créer un lien symbolique dans le répertoire de téléchargement de Gitlab. La vulnérabilité permettait également au pirate de supprimer un projet importé et de créer un shell avec la même autorisation que l'utilisateur système gitlab.

Kathy: Je veux aussi appeler @jobert, pour les formidables contributions qu'il a apportées à notre programme. Dans l'ensemble, nous avons été impressionnés par le niveau de professionnalisme de la plupart des hackers avec lesquels nous avons travaillé.

Q: Quels conseils donneriez-vous aux autres organisations sur le lancement d'un programme de primes aux bogues?
Kathy: Le facteur le plus important lors du démarrage d'un programme de primes aux bogues est la préparation du point de vue de la dotation en personnel et de s'assurer que vous avez la structure de soutien en place pour atténuer ces résultats. Cela signifie avoir des ingénieurs capables de valider les résultats, de les trier et d'interagir avec les développeurs pour exécuter les atténuations. Nous avons également des ingénieurs en automatisation de la sécurité dans l'équipe de sécurité qui ont déployé un travail important pour nous aider à évoluer lors de la réponse et du tri des rapports de constatations. Cela signifie un meilleur engagement des pirates, ce qui aide les pirates à rester intéressés par notre programme. Nous avons également constaté des augmentations temporaires significatives des résultats rapportés à chaque augmentation de prime, alors soyez prêt pour cela.

Q: Et maintenant, quelle est la prochaine étape?
Kathy: Notre équipe de sécurité a plus que quintuplé au cours de la dernière année, et nous continuerons de croître en 2019. D'ici la fin de 2018, nous arrêterons le support de TLS 1.0 et 1.1 pour GitLab.com. Nous déployons également Zero Trust en 2019. Nous prévoyons également un programme de gamification pour les hackers HackerOne sur notre programme afin de fournir des récompenses intéressantes (par exemple, un butin exclusif de HackerOne uniquement GitLab aux meilleurs hackers, etc.) au-delà des paiements de primes.

Si vous souhaitez en savoir plus sur le programme de GitLab ou si vous souhaitez vous faire pirater, consultez la page du programme public GitLab à l'adresse https://hackerone.com/gitlab.

À propos de HackerOne
HackerOne est le n ° 1 plateforme de sécurité propulsée par les hackers, aidant les organisations à trouver et à corriger les vulnérabilités critiques avant qu'elles ne puissent être exploitées. Plus de sociétés Fortune 500 et Forbes Global 1000 font confiance à HackerOne qu'à toute autre alternative de sécurité basée sur les hackers. Le département américain de la Défense, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, le centre de coordination CERT et plus de 1,200 autres organisations se sont associés à HackerOne pour résoudre plus de 86,000 vulnérabilités et récompenser plus de 40 M $ en primes de bug. HackerOne a son siège à San Francisco et des bureaux à Londres, New York, aux Pays-Bas et à Singapour. Pour un aperçu complet du secteur basé sur le plus grand référentiel de données de vulnérabilité signalées par les pirates, téléchargez le Le rapport de sécurité alimenté par les hackers 2018.

###