Poted on

싱가포르, @mcgallen #microwireinfo, 13 년 2018 월 XNUMX 일 – 최고의 해커 기반 보안 플랫폼 인 HackerOne이 GitLab의 Kathy Wang 및 James Ritchey와 함께 GitLab의 최신 공개 버그 바운티 프로그램에 대해 이야기했습니다.

GitLab은 누구입니까?

GitLab은 전체 DevOps 라이프 사이클을위한 단일 애플리케이션으로 보안이나 품질을 희생하지 않고도 소프트웨어 개발을 더 쉽고 효율적으로 할 수 있습니다. 조직은 오픈 소스를 살며 숨을 쉬기 때문에 동일한 오픈 소스 전략으로 사이버 보안에 접근하는 것이 합리적입니다. HackerOne에서 비공개 버그 바운티 프로그램과 공개 취약성 공개 프로그램 (VDP)을 실행 한 후 GitLab은 오늘 첫 번째 공개 버그 바운티 프로그램을 시작합니다.

인터뷰

GitLab의 보안 이사 Kathy Wang 및 수석 애플리케이션 보안 엔지니어 James Ritchey와 함께 시간이 지남에 따라 GitLab 프로그램의 발전, 프로그램 공개 결정, HackerOne 커뮤니티 활용이 보안 문제를 찾고 수정하는 데 어떻게 도움이되었는지에 대해 자세히 알아 보았습니다. 빨리. 다음은 대화 내용입니다.

Q : GitLab이 애초에 버그 바운티 프로그램을 시작하기로 결정한 이유는 무엇입니까?
Kathy : GitLab에서는 누구나 기여할 수 있습니다. 우리 제품은 오픈 소스입니다. GitLab이 버그 바운티 프로그램을 시작했을 때 보안 팀은 매우 새롭고 HackerOne이 포함 된이 프로그램을 사용하면 제품에서 취약점이있는 위치를 확장하고 강조하여 더 빨리 수정할 수있었습니다.

Q : GitLab이 버그 바운티 프로그램을 관리하기 위해 HackerOne을 선택한 이유는 무엇입니까? 왜 스스로를 관리하지 않습니까?
Kathy : 보안 분야에서 훌륭한 인재를 고용하는 것은 쉽지 않습니다. 버그 바운티 프로그램을 관리하기 위해 HackerOne (및 그 전문가)을 선택함으로써 보안 노력을 확장하는 데 필요한 다른 영역에 집중할 수있었습니다. 예를 들어, 우리는 애플리케이션 보안 및 보안 운영 팀을 위해 보안 실무자를 고용하는 데 집중할 수있었습니다.

Q : GitLab은 먼저 파일럿 또는 비공개 프로그램을 실행하고 공개 VDP를 실행 했습니까? 해당 프로그램이 실행 된 기간, 프로젝트 범위 내에서 발견 된 버그 수, 성공으로 인해 공식 프로그램을 시작하게되었는지 알려주시겠습니까?
Kathy : 처음에 GitLab은 버그 바운티를 제공하지 않는 공개 VDP를 실행했으며 2014 년에 시작되었습니다. GitLab은 2017 년 250 월에 소규모 비공개 버그 바운티 프로그램을 도입했습니다. 출시 이후 GitLab VIP (초대 전용, 비공개 프로그램) 및 공개 VDP는 100 명 이상의 참여 해커 덕분에 거의 194,700 개의 취약점을 해결했습니다. GitLab VIP 프로그램은 현상금으로 $ XNUMX를 지급했습니다. 우리는 비공개 버그 바운티 프로그램과 공개 VDP가 최종 공개 프로그램 출시를위한 매우 성공적이고 훌륭한 교육을 고려했습니다. 오늘날 두 프로그램은 하나의 공개 버그 바운티 프로그램으로 통합되고 있습니다.

Q : 프로그램이 지금 공개되는 이유는 무엇입니까?
Kathy : 우리는 오픈 소스 기여 가치를 보안 취약성에 대한 책임있는 공개와 소스 코드 기반으로 확장하고자했습니다. 우리는 HackerOne 팀과상의 한 후 GitLab 현상금 프로그램을 공개하기 위해이 기간을 선택했습니다. 그들은 우리가 정보에 입각 한 결정을 내릴 수 있도록 프로그램을 공개 할 때 고려할 관련 메트릭과 물류를 제공 할 수있었습니다. 우리는 해커 커뮤니티와 협력하기 위해 최선을 다하고 있으며, 해커가 우리와 계속 협력하기를 원할 수 있도록 자동화를 통해 더 나은 프로세스를 개발하고 응답 시간을 개선함으로써이 공동 작업을 촉진하기 위해 준비해 왔습니다.

Q : GitLab의 버그 바운티 프로그램의 차이점은 무엇이며 해커에게 소프트웨어를 공개하는 것이 중요한 이유는 무엇입니까?
Kathy : GitLab은 대부분의 회사보다 투명합니다. 오랜 보안 전문가로서 제 관점에서 GitLab은 제가 일했던 가장 투명한 회사입니다. 현재 보안 취약성에 대한 세부 정보는 완화 조치가 발표 된 후 30 일이 지나면 공개됩니다. 많은 회사가이 일을 일관되게하는 것은 아니지만 우리는 그렇게합니다.

Q : 버그 바운티 프로그램은 GitLab의 대규모 사이버 보안 전략에 어떤 영향을 미치고 앞으로 미칠 것입니까?
Kathy : 우리는 GitLab에서 보안을 매우 중요하게 생각하며 HackerOne Bounty 프로그램은 심층 방어 전략에 대한 접근 방식의 일부입니다. GitLab 플랫폼에는 코드 병합시 라이브러리 종속성 관련 보안 취약성에 대해 경고하는 보안 검색 기능이 내장되어 있습니다. 또한 내부 애플리케이션 보안 검토를 수행합니다. 오랫동안 보안 업계에 종사해 온 모든 사람들은 보안에 은총이 없다는 것을 알고 있습니다. 여러 각도에서 취약성을 완화해야합니다.

Q : 오픈 소스 플랫폼으로서 개발자 커뮤니티와 유사한 해커 커뮤니티와의 관계를 어떻게 육성하고 있습니까?
James : 해커 커뮤니티와의 관계를 육성하는 것은 개발 커뮤니티와의 관계를 육성하는 것과 거의 동일하다고 말하고 싶습니다. 핵심 포인트에는 투명한 의사 소통, 신뢰 구축, 의견 존중 및 가치 평가, 기여에 대한 보상으로 감사 표시가 포함됩니다. HackerOne 플랫폼을 사용하면 이러한 관계를 구축하는 데 도움이되며 모든 사람이 기여할 수있는 GitLab 사명에 잘 부합합니다. 여기에는 코드뿐만 아니라 보안 버그 기여도 포함됩니다.

Q : 클라우드가 GitLab의 보안에 어떤 영향을 미쳤습니까? 해커 기반 보안이 어떻게 도움이 되었습니까?
Kathy : GitLab은 클라우드 네이티브 회사입니다. 말 그대로 실제 사무실이 없습니다. 모든 직원은 40 개 이상의 국가에서 멀리 떨어져 있습니다. 우리가 사용하는 모든 타사 제품은 SaaS 기반입니다. GitLab.com은 Google Cloud에서 호스팅됩니다. 보안 관점에서 볼 때 확고한 경계가 없습니다. 예를 들어, 액세스 및 자격 증명 관리와 내부 애플리케이션 보안 검토에 집중해야합니다. 해커와 함께 작업하면 팀이 확장되어 다른 영역에도 집중할 수 있습니다.

Q : 지금까지 가장 좋아하는 해커 상호 작용 중 하나는 무엇입니까? 좋아하는 버그가 있습니까?
James : @fransrosen은 항상 함께 일하는 것이 즐겁습니다. 그는 항상 전문적인 태도를 유지하며 그의 보고서는 그의 개념 증명 익스플로잇을 통해 명확한 영향을 보여줌으로써 항상 매우 상세합니다. 지금까지 프로그램에보고 된 흥미로운 버그가 많이 있지만 제가 가장 좋아하는 버그 중 하나는 @nyangawa의 중요한 발견이었습니다 (보고서 # 378148). 해커는 파일 이름 정규식을 우회하고 Gitlab 업로드 디렉토리에 심볼릭 링크를 만들 수있었습니다. 이 취약점은 또한 해커가 가져온 프로젝트를 삭제하고 시스템 gitlab 사용자와 동일한 권한으로 셸을 생성하는 것을 허용했습니다.

Kathy : 저는 또한 그가 우리 프로그램에 큰 공헌을 한 @jobert에게 전화를 걸고 싶습니다. 전반적으로 우리는 우리가 함께 일한 대부분의 해커들의 전문성 수준에 깊은 인상을 받았습니다.

Q : 버그 바운티 프로그램 시작에 대해 다른 조직에 어떤 조언을 하시겠습니까?
Kathy : 버그 바운티 프로그램을 시작할 때 가장 큰 요소는 직원의 관점에서 준비하고 이러한 발견을 완화 할 수있는 지원 구조를 갖추는 것입니다. 즉, 발견 사항을 검증하고, 심사하고, 완화를 실행하기 위해 개발자와 상호 작용할 수있는 엔지니어가 있어야합니다. 또한 보안 팀에는 발견 보고서에 응답하고 분류 할 때 확장 할 수 있도록 상당한 작업을 수행 한 보안 자동화 엔지니어가 있습니다. 이는 해커 참여가 향상되어 해커가 프로그램에 계속 관심을 갖도록 도와줍니다. 또한 현상금이 증가 할 때마다보고 된 결과가 일시적으로 크게 증가 했으므로 이에 대비하십시오.

Q : 이제 다음은 무엇입니까?
Kathy : 보안 팀은 작년에 비해 2019 배 이상 증가했으며 2018 년에도 계속 성장할 것입니다. 1.0 년 말까지 GitLab.com에 대한 TLS 1.1 및 2019에 대한 지원을 중단 할 것입니다. 또한 XNUMX 년에 제로 트러스트를 출시 할 예정입니다. 또한 바운티 지급 외에 흥미로운 보상 (예 : 최고 해커에게 독점적 인 HackerOne 전용 GitLab 상품)을 제공하기 위해 프로그램에서 HackerOne 해커를위한 게임 화 프로그램을 계획하고 있습니다.

GitLab 프로그램에 대해 더 자세히 알고 싶거나 해킹을 받고 싶다면 GitLab 공개 프로그램 페이지를 확인하세요. https://hackerone.com/gitlab.

HackerOne 정보
HackerOne은 # 1입니다. 해커 기반 보안 플랫폼, 조직이 악용되기 전에 중요한 취약성을 찾아 수정하도록 지원합니다. 더 많은 Fortune 500 대 기업과 Forbes Global 1000 대 기업이 다른 해커 기반 보안 대안보다 HackerOne을 신뢰합니다. 미국 국방부, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, CERT Coordination Center 및 1,200 개 이상의 기타 조직이 HackerOne과 제휴하여 86,000 개 이상의 취약점을 해결하고 수상했습니다. $ 40 만 이상 버그 현상금. HackerOne은 샌프란시스코에 본사가 있으며 런던, 뉴욕, 네덜란드 및 싱가포르에 사무소가 있습니다. 해커가보고 한 취약성 데이터의 가장 큰 저장소를 기반으로 한 업계를 종합적으로 살펴 보려면 해커 기반 보안 보고서 2018.

# # #