GitLabのKathyWangとJamesRitcheyとのHackerOneQ&A

UnsplashでのチャールズDeluvioによる写真

シンガポール、@ mcgallen#microwire情報、13年2018月XNUMX日–最先端のハッカーを利用したセキュリティプラットフォームであるHackerOneが、GitLabのKathy WangとJames Ritcheyに座り、GitLabの最新のPublic Bug Bounty Programについて話しました。

GitLabとは誰ですか?

GitLabはDevOpsライフサイクル全体の単一のアプリケーションであり、セキュリティや品質を犠牲にすることなく、ソフトウェア開発をより簡単かつ効率的にします。 組織はオープンソースを利用しているため、同じオープンソース戦略でサイバーセキュリティに取り組むのは理にかなっています。 GitLabは、HackerOneでプライベートバグ報奨金プログラムとパブリック脆弱性開示プログラム(VDP)を実行した後、本日、最初のパブリックバグ報奨金プログラムを開始します。

面接

私たちは、GitLabのセキュリティディレクターであるキャシーワンとシニアアプリケーションセキュリティエンジニアのジェームズリッチーに時間をかけてGitLabのプログラムの進化、彼らのプログラムを公開するという彼らの決断、そしてHackerOneのコミュニティーの活用がセキュリティ問題の発見と修正にどのように役立ったかについて話し合いました。早く。 これが会話の一部です。

Q:なぜGitLabは最初からバグ報奨金プログラムを開始することを決めたのですか?
キャシー:GitLabでは誰でも貢献できます。 当社の製品はオープンソースです。 GitLabがバグ報奨金プログラムを開始した当時、セキュリティチームは非常に新しいものでした。HackerOneを備えたこのプログラムは、脆弱性が製品のどこにあるかを拡大して強調表示し、より迅速に修正できるようにしました。

Q:GitLabがバグ報奨金プログラムを管理するためにHackerOneを選択したのはなぜですか? なぜあなたは自分を管理するだけではないのですか?
キャシー:セキュリティの高い人を雇うのは簡単ではありません。 バグ報奨金プログラムを管理するためにHackerOne(およびその専門家)を選択することで、セキュリティへの取り組みを拡大するために必要な他の領域に集中することができました。 たとえば、アプリケーションセキュリティチームとセキュリティオペレーションチームにセキュリティ専門家を雇うことに集中できました。

Q:GitLabはパイロットプログラムまたはプライベートプログラムを最初に実行し、パブリックVDPを実行しましたか? それらのプログラムが実行された期間、プロジェクトスコープ内で見つかったバグの数、およびその成功により公式プログラムが開始されたかどうかを教えてください。
キャシー:当初、GitLabはバグ報奨金を提供しないパブリックVDPを実行し、2014年に開始されました。GitLabは2017年250月に小さなプライベートバグ報奨金プログラムを導入しました。パブリックVDPは、100人を超えるハッカーの参加により、194,700近くの脆弱性を解決しました。 GitLab VIPプログラムは、賞金としてXNUMXドルを支払いました。 私たちは、プライベートなバグ報奨金プログラムとパブリックVDPを、非常に成功し、最終的なパブリックプログラムの立ち上げのための優れたトレーニングと見なしました。 現在、両方のプログラムがXNUMXつの公開バグ報奨金プログラムに統合されています。

Q:プログラムが公開されるのはなぜですか?
キャシー:オープンソースの貢献度を、セキュリティの脆弱性の責任ある開示とソースコードベースに拡張したいと考えました。 私たちは、HackerOneチームと相談した後、GitLabバウンティプログラムで公開するためにこの時間枠を選びました。 彼らは、プログラムを公開する際に考慮すべき関連する測定基準とロジスティックスを提供して、情報に基づいた決定を下すことができました。 私たちはハッカーコミュニティとの協力に取り組んでおり、ハッカーが私たちとの協力を続けられるように、より良いプロセスを開発し、自動化により応答時間を改善することで、この協力的な取り組みを促進する準備をしています。

Q:GitLabのバグ報奨金プログラムの違いは何ですか?ハッカーにソフトウェアを公開することが重要なのはなぜですか?
Kathy:GitLabは、ほとんどの企業よりも透過的です。 長い間セキュリティの実践者としての私の観点から、GitLabは私がこれまでに取り組んできた中で最も透明性の高い会社です。 現在、緩和策のリリースから30日後にセキュリティの脆弱性の詳細を公開しています。 多くの企業がこれを一貫して行っているとは思いませんが、私たちはそうしています。

Q:バグ報奨金プログラムはGitLabのより大きなサイバーセキュリティ戦略にどのように影響しますか?
キャシー:GitLabではセキュリティを非常に重視しています。HackerOneバウンティプログラムは、多層防御戦略のアプローチの一部です。 GitLabプラットフォームには、コードのマージ時にライブラリの依存関係に関連するセキュリティの脆弱性を警告する組み込みのセキュリティスキャン機能もあります。 また、内部アプリケーションのセキュリティレビューも実施します。 セキュリティ業界に十分長い間携わっているすべての人は、セキュリティに特効薬がないことを知っています。脆弱性をさまざまな角度から軽減する必要があります。

Q:あなた自身がオープンソースのプラットフォームとして、開発者コミュニティと同様のハッカーコミュニティとの関係をどのように育成していますか?
James:ハッカーコミュニティとの関係を育むことは、開発コミュニティとの関係を育むこととほぼ同じだと思います。 重要なポイントには、透明性のあるコミュニケーション、信頼の構築、彼らの意見の尊重と評価、貢献に報いることによる感謝の表明が含まれます。 HackerOneプラットフォームを使用することで、これらの関係を育むことができ、誰もが貢献できるGitLabの使命とよく共鳴します。 これには、コードだけでなく、セキュリティバグの寄与も含まれます。

Q:クラウドはGitLabのセキュリティにどのような影響を与えましたか? ハッカーによるセキュリティはどのように役立ちましたか?
キャシー:GitLabはクラウドネイティブの会社です。 文字通り物理的なオフィスはありません–すべての従業員は40以上の異なる国にまたがって離れています。 私たちが使用するサードパーティ製品はすべてSaaSベースです。 GitLab.comはGoogle Cloudでホストされています。 セキュリティの観点から、しっかりとした境界はありません。 たとえば、アクセスと認証情報の管理だけでなく、内部のアプリケーションセキュリティレビューにも重点を置く必要があります。 ハッカーと協力することでチームの規模が拡大し、他の領域にも注力できるようになります。

Q:これまでのお気に入りのハッカーインタラクションのXNUMXつは何ですか? お気に入りのバグはありますか?
ジェームズ:@fransrosenはいつも一緒に仕事をするのが楽しみです。 彼は常に専門的な態度を維持しており、彼のレポートは、概念実証の悪用を通じて明確な影響を示すことにより、常に非常に詳細になっています。 これまでにプログラムに報告された興味深いバグはたくさんありますが、私のお気に入りの378148つは、@ nyangawaからの重要な発見でした(レポート#XNUMX)。 ハッカーは、ファイル名の正規表現をバイパスして、Gitlabアップロードディレクトリにシンボリックリンクを作成することができました。 この脆弱性により、ハッカーはインポートされたプロジェクトを削除し、システムgitlabユーザーと同じ権限でシェルを作成することもできました。

キャシー:私のプログラムにも多大な貢献をしてくれた@jobertにも声をかけたいです。 全体として、私たちが協力してきたほとんどのハッカーからのプロ意識のレベルに感銘を受けています。

Q:バグバウンティプログラムの開始について他の組織にどのようなアドバイスをしますか?
キャシー:バグ報奨金プログラムを開始する際の最大の要素は、人員配置の観点から準備されており、それらの発見を軽減するためのサポート構造が整っていることを確認することです。 つまり、調査結果を検証して選別し、緩和策を実行するために開発者とやり取りできるエンジニアを用意する必要があります。 また、セキュリティチームにはセキュリティオートメーションエンジニアがいて、調査結果のレポートに応答してトリアージする際のスケーリングを支援する重要な作業を行っています。 これは、ハッカーのエンゲージメントが向上することを意味し、ハッカーが私たちのプログラムに興味を持ち続けるのに役立ちます。 また、報奨金の増加ごとに、報告された調査結果が一時的に大幅に増加しているので、それに備えてください。

Q:次は何をしますか?
キャシー:私たちのセキュリティチームは昨年の2019倍以上になり、2018年も成長を続けます。1.0年末までに、GitLab.comのTLS 1.1および2019のサポートを終了します。 また、XNUMX年にゼロトラストを展開します。また、報奨金の支払いを超えて興味深い報酬(たとえば、トップハッカーに限定的なHackerOneのみのGitLab盗品など)を提供するために、プログラムでHackerOneハッカーのゲーミフィケーションプログラムを計画しています。

GitLabのプログラムの詳細に興味がある場合、またはハッキングを取得したい場合は、次のURLにあるGitLabの公開プログラムのページをご覧ください。 https://hackerone.com/gitlab.

HackerOneについて
HackerOneは#1です ハッカーを利用したセキュリティプラットフォーム、重要な脆弱性が悪用される前に、それらを見つけて修正するのに役立ちます。 Fortune 500およびForbes Global 1000の企業は、ハッカーを利用した他のどのセキュリティ代替製品よりもHackerOneを信頼しています。 米国国防総省、ゼネラルモーターズ、グーグル、ツイッター、GitHub、任天堂、ルフトハンザ、パナソニックアビオニクス、クアルコム、スターバックス、ドロップボックス、インテル、CERTコーディネーションセンター、その他1,200以上の組織がHackerOneと提携して86,000を超える脆弱性と賞を解決しています40万ドル以上 バグの報い。 HackerOneはサンフランシスコに本社を置き、ロンドン、ニューヨーク、オランダ、シンガポールにオフィスを構えています。 ハッカーが報告した脆弱性データの最大のリポジトリに基づいて業界を包括的に見るには、 ハッカーを利用したセキュリティレポート2018.

###