HackerOne Q&A Dengan GitLab's Kathy Wang dan James Ritchey

Foto oleh Charles Deluvio di Unsplash

Singapura, @mcgallen #microwireinfo, 13 Desember 2018 - HackerOne, platform keamanan bertenaga peretas terkemuka, duduk bersama Kathy Wang dan James Ritchey dari GitLab, untuk berbicara tentang Program Bounty Bug Publik terbaru dari GitLab.

Siapa GitLab?

GitLab adalah aplikasi tunggal untuk seluruh siklus hidup DevOps, membuat pengembangan perangkat lunak lebih mudah dan lebih efisien, tanpa mengorbankan keamanan atau kualitas. Organisasi ini hidup dan bernafas dengan sumber terbuka, jadi masuk akal jika mereka mendekati keamanan siber dengan strategi sumber terbuka yang sama. Setelah menjalankan program bounty bug pribadi dan program pengungkapan kerentanan publik (VDP) di HackerOne, GitLab meluncurkan program bounty bug publik pertama mereka hari ini.

Wawancara

Kami duduk bersama Direktur Keamanan GitLab Kathy Wang dan Insinyur Keamanan Aplikasi Senior James Ritchey untuk menyelami evolusi program GitLab dari waktu ke waktu, keputusan mereka untuk mengumumkan program mereka, dan bagaimana memanfaatkan komunitas HackerOne telah membantu menemukan dan memperbaiki masalah keamanan segera. Berikut sekilas percakapannya:

T: Mengapa GitLab memutuskan untuk memulai program bug bounty?
Kathy: Di GitLab, semua orang dapat berkontribusi. Produk kami open source. Dulu ketika GitLab memulai program bug bounty, Tim Keamanan masih sangat baru, dan program dengan HackerOne ini membantu kami menskalakan dan menyoroti di mana kerentanan ada di produk kami sehingga kami dapat memperbaikinya lebih cepat.

T: Mengapa GitLab memilih HackerOne untuk mengelola program bug bountynya? Mengapa Anda tidak hanya mengatur diri sendiri?
Kathy: Tidak mudah untuk mempekerjakan orang-orang hebat dalam keamanan. Memilih HackerOne (dan ahlinya) untuk mengelola program bug bounty memungkinkan kami untuk fokus di area lain yang diperlukan untuk meningkatkan upaya keamanan kami. Misalnya, kami dapat fokus mempekerjakan praktisi keamanan untuk tim Operasi Keamanan dan Keamanan Aplikasi kami.

T: Apakah GitLab menjalankan program percontohan atau swasta terlebih dahulu dan VDP publik? Dapatkah Anda memberi tahu saya berapa lama program tersebut berjalan, berapa banyak bug dalam lingkup proyek yang ditemukan, dan apakah keberhasilannya membuat Anda meluncurkan program resmi?
Kathy: Awalnya, GitLab menjalankan VDP publik yang tidak menawarkan bug bounty, yang dimulai pada 2014. GitLab memperkenalkan program bug bounty pribadi kecil pada Desember 2017. Sejak diluncurkan, GitLab VIP (khusus undangan, program privat) dan VDP publik telah menyelesaikan hampir 250 kerentanan berkat lebih dari 100 peretas yang berpartisipasi. Program VIP GitLab telah membayar $ 194,700 dalam bentuk bounty. Kami menganggap program bounty bug pribadi dan VDP publik sangat sukses dan pelatihan yang bagus untuk peluncuran program publik pada akhirnya. Saat ini, kedua program tersebut dikonsolidasikan menjadi satu program bug bounty publik.

T: Mengapa program ini menjadi publik sekarang?
Kathy: Kami ingin memperluas nilai kontribusi sumber terbuka kami untuk pengungkapan kerentanan keamanan yang bertanggung jawab, serta basis kode sumber kami. Kami memilih jangka waktu ini untuk go public dengan program bounty GitLab setelah berkonsultasi dengan tim HackerOne. Mereka dapat memberi kami metrik dan logistik yang relevan untuk dipertimbangkan saat membuat program menjadi publik, sehingga kami dapat membuat keputusan yang tepat. Kami berkomitmen untuk berkolaborasi dengan komunitas peretas, dan kami telah bersiap untuk memfasilitasi inisiatif kolaboratif ini dengan mengembangkan proses yang lebih baik dan meningkatkan waktu respons dengan otomatisasi, sehingga peretas ingin terus berkolaborasi dengan kami.

T: Apa yang berbeda dengan program bug bounty GitLab dan mengapa penting untuk membuka perangkat lunak Anda bagi peretas?
Kathy: GitLab lebih transparan daripada kebanyakan perusahaan. Dari sudut pandang saya sebagai praktisi keamanan lama, GitLab adalah perusahaan paling transparan tempat saya bekerja. Saat ini kami membuat detail kerentanan keamanan menjadi publik 30 hari setelah mitigasi dirilis. Saya tidak berpikir banyak perusahaan melakukan ini secara konsisten, tetapi kami melakukannya.

T: Bagaimana dan akankah program bug bounty memengaruhi strategi keamanan siber GitLab yang lebih besar?
Kathy: Kami menangani keamanan dengan sangat serius di sini di GitLab, dan program Bounty HackerOne kami adalah bagian dari pendekatan kami untuk strategi pertahanan kami yang mendalam. Platform GitLab juga memiliki kemampuan pemindaian keamanan bawaan yang memperingatkan kerentanan keamanan terkait ketergantungan perpustakaan pada saat kode digabungkan. Kami juga melakukan tinjauan keamanan aplikasi internal. Setiap orang yang telah cukup lama berkecimpung di industri keamanan tahu bahwa tidak ada solusi terbaik dalam keamanan - Anda harus mengurangi kerentanan dari berbagai sudut.

T: Sebagai platform sumber terbuka Anda sendiri, bagaimana membina hubungan dengan komunitas peretas serupa dengan komunitas pengembang?
James: Menurut saya, membina hubungan dengan komunitas peretas kurang lebih sama dengan membina hubungan dengan komunitas pengembang. Poin utama termasuk komunikasi yang transparan, membangun kepercayaan, menghormati dan menghargai masukan mereka, dan menunjukkan penghargaan dengan menghargai kontribusi. Menggunakan platform HackerOne membantu kami memupuk hubungan tersebut, dan hal itu selaras dengan misi GitLab kami sehingga semua orang dapat berkontribusi. Itu termasuk kontribusi bug keamanan dan bukan hanya kode.

T: Bagaimana cloud memengaruhi keamanan di GitLab? Bagaimana keamanan yang didukung peretas membantu?
Kathy: GitLab adalah perusahaan cloud-native. Secara harfiah tidak ada kantor fisik - semua karyawan berada jauh, di 40+ negara yang berbeda. Setiap produk pihak ketiga yang kami gunakan berbasis SaaS. GitLab.com dihosting di Google Cloud. Tidak ada batasan tegas, dari perspektif keamanan. Kami harus fokus pada akses dan manajemen kredensial, serta tinjauan keamanan aplikasi internal, misalnya. Bekerja dengan peretas membantu skala tim, sehingga kami dapat fokus pada area lain juga.

T: Apa salah satu interaksi peretas favorit Anda hingga saat ini? Ada bug favorit?
James: @fransrosen selalu menyenangkan untuk diajak bekerja sama. Dia selalu mempertahankan sikap profesional dan laporannya selalu sangat rinci dengan menunjukkan dampak yang jelas melalui bukti eksploitasi konsepnya. Ada banyak bug menarik yang telah dilaporkan ke program hingga saat ini, tetapi salah satu favorit saya adalah temuan kritis dari @nyangawa (Laporan # 378148). Peretas dapat melewati ekspresi reguler nama file dan membuat tautan simbolis di direktori unggahan Gitlab. Kerentanan juga memungkinkan peretas menghapus proyek yang diimpor dan membuat shell dengan izin yang sama dari pengguna gitlab sistem.

Kathy: Saya juga ingin memanggil @jobert, atas kontribusi besar yang telah dia berikan pada program kami. Secara keseluruhan, kami terkesan dengan tingkat profesionalisme dari sebagian besar peretas yang pernah bekerja sama dengan kami.

T: Saran apa yang akan Anda berikan kepada organisasi lain tentang memulai program bug bounty?
Kathy: Faktor terbesar saat memulai program bug bounty sedang dipersiapkan dari perspektif kepegawaian, dan memastikan bahwa Anda memiliki struktur pendukung untuk mengurangi temuan tersebut. Itu berarti memiliki insinyur yang dapat memvalidasi temuan, melakukan triase, dan berinteraksi dengan pengembang untuk menjalankan mitigasi. Kami juga memiliki teknisi otomasi keamanan di tim Keamanan yang telah melakukan pekerjaan signifikan untuk membantu kami mengukur saat menanggapi dan menentukan prioritas laporan temuan. Ini berarti keterlibatan peretas yang lebih baik, yang membantu peretas tetap tertarik dengan program kami. Kami juga telah melihat peningkatan sementara yang signifikan dalam temuan yang dilaporkan dengan setiap peningkatan hadiah, jadi bersiaplah untuk itu.

T: Sekarang, apa selanjutnya?
Kathy: Tim Keamanan kami memiliki lebih dari lima kali lipat selama setahun terakhir, dan kami akan terus berkembang pada 2019. Pada akhir 2018, kami akan menghentikan dukungan untuk TLS 1.0 dan 1.1 untuk GitLab.com. Kami juga meluncurkan Zero Trust pada tahun 2019. Kami juga merencanakan program gamification untuk peretas HackerOne di program kami untuk memberikan hadiah menarik (misalnya, hadiah eksklusif GitLab HackerOne-saja untuk peretas top, dll.) Di luar pembayaran bounty.

Jika Anda tertarik untuk mempelajari lebih lanjut tentang program GitLab atau ingin mendapatkan hacking, lihat halaman program publik GitLab di https://hackerone.com/gitlab.

Tentang HackerOne
HackerOne adalah # 1 platform keamanan bertenaga peretas, membantu organisasi menemukan dan memperbaiki kerentanan kritis sebelum dapat dieksploitasi. Lebih banyak perusahaan Fortune 500 dan Forbes Global 1000 mempercayai HackerOne daripada alternatif keamanan yang didukung peretas lainnya. Departemen Pertahanan AS, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Pusat Koordinasi CERT dan lebih dari 1,200 organisasi lain telah bermitra dengan HackerOne untuk menyelesaikan lebih dari 86,000 kerentanan dan penghargaan lebih dari $ 40 juta karunia bug. HackerOne berkantor pusat di San Francisco dengan kantor di London, New York, Belanda, dan Singapura. Untuk tampilan menyeluruh tentang industri berdasarkan repositori terbesar dari data kerentanan yang dilaporkan peretas, unduh file Laporan Keamanan yang Didukung Peretas 2018.

# # #