опубликовано

Сингапур, @mcgallen #microwireinfo, 13 декабря 2018 г. - HackerOne, ведущая платформа безопасности на базе хакеров, встретилась с Кэти Ван из GitLab и Джеймсом Ричи, чтобы поговорить о последней программе GitLab Public Bug Bounty.

Кто такой GitLab?

GitLab - это единое приложение для всего жизненного цикла DevOps, которое упрощает и повышает эффективность разработки программного обеспечения без ущерба для безопасности или качества. Организация живет и дышит открытым исходным кодом, поэтому имеет смысл только подходить к кибербезопасности с помощью той же стратегии с открытым исходным кодом. После запуска частной программы поощрения ошибок и публичной программы раскрытия уязвимостей (VDP) на HackerOne, GitLab сегодня запускает свою первую публичную программу поощрения ошибок.

Интервью

Мы поговорили с директором GitLab по безопасности Кэти Ван и старшим инженером по безопасности приложений Джеймсом Ричи, чтобы погрузиться в эволюцию программы GitLab с течением времени, их решение обнародовать свою программу и то, как использование сообщества HackerOne помогло найти и исправить проблемы безопасности. быстро. Вот краткий обзор разговора:

В: Почему GitLab вообще решил запустить программу вознаграждения за ошибки?
Кэти: В GitLab каждый может внести свой вклад. Наш продукт с открытым исходным кодом. Когда GitLab запустил программу вознаграждения за ошибки, команда безопасности была совсем новой, и эта программа с HackerOne помогла нам масштабировать и выделять уязвимости в нашем продукте, чтобы мы могли быстрее их исправить.

В: Почему GitLab выбрал HackerOne для управления своей программой вознаграждения за ошибки? Почему вы не управляете собой?
Кэти: Нелегко нанять хороших сотрудников службы безопасности. Выбор HackerOne (и их экспертов) для управления нашей программой поощрения ошибок позволил нам сосредоточиться на других областях, необходимых для масштабирования наших усилий по обеспечению безопасности. Например, мы смогли сосредоточиться на найме специалистов по безопасности для наших групп безопасности приложений и операций безопасности.

В: GitLab запускал сначала пилотную или частную программу и публичный VDP? Можете ли вы сказать мне, как долго работали эти программы, сколько ошибок в рамках проекта было обнаружено и привел ли его успех к запуску официальной программы?
Кэти: Изначально GitLab запускал общедоступный VDP, который не предлагал вознаграждения за ошибки, который начался в 2014 году. GitLab представил небольшую частную программу вознаграждения за ошибки в декабре 2017 года. С момента запуска GitLab VIP (закрытая программа только для приглашенных) и публичные VDP устранили почти 250 уязвимостей благодаря более чем 100 участвующим хакерам. VIP-программа GitLab выплатила вознаграждения в размере 194,700 XNUMX долларов. Мы считали частную программу поощрения ошибок и публичную VDP чрезвычайно успешными и хорошими тренировками для возможного запуска публичной программы. Сегодня обе программы объединяются в одну публичную программу поощрения ошибок.

В: Почему программа стала публичной?
Кэти: Мы хотели расширить наши ценности вклада с открытым исходным кодом в ответственное раскрытие уязвимостей безопасности, а также на нашу базу исходного кода. Мы выбрали этот период, чтобы обнародовать программу вознаграждений GitLab после консультации с командой HackerOne. Они смогли предоставить нам соответствующие показатели и логистику, которые необходимо учитывать при публикации программы, чтобы мы могли принять обоснованное решение. Мы стремимся к сотрудничеству с хакерским сообществом и готовимся содействовать этой совместной инициативе, разрабатывая более совершенные процессы и сокращая время отклика с помощью автоматизации, чтобы хакеры захотели продолжить сотрудничество с нами.

В: Чем отличается программа Bug Bounty GitLab и почему важно открыть ваше программное обеспечение для хакеров?
Кэти: GitLab более прозрачен, чем большинство компаний. С моей точки зрения, как давнего специалиста по безопасности, GitLab - самая прозрачная компания, в которой я когда-либо работал. В настоящее время мы публикуем подробные сведения об уязвимостях безопасности через 30 дней после выпуска средств защиты. Я не думаю, что многие компании делают это постоянно, но мы делаем.

В: Как и повлияет ли программа поощрения ошибок на более крупную стратегию кибербезопасности GitLab?
Кэти: Мы очень серьезно относимся к безопасности здесь, в GitLab, и наша программа HackerOne Bounty является частью нашего подхода к нашей стратегии углубленной защиты. Платформа GitLab также имеет встроенные возможности сканирования безопасности, которые предупреждают об уязвимостях безопасности, связанных с зависимостями библиотек, во время слияния кода. Мы также проводим внутренние проверки безопасности приложений. Каждый, кто достаточно долго работает в сфере безопасности, знает, что в безопасности нет серебряной пули - вы должны снижать уязвимости с разных сторон.

В: Как вы сами являетесь платформой с открытым исходным кодом, как вы налаживаете отношения с хакерским сообществом, похожим на сообщество разработчиков?
Джеймс: Я бы сказал, что налаживание отношений с сообществом хакеров более или менее похоже на установление отношений с сообществом разработчиков. Ключевые моменты включают прозрачное общение, укрепление доверия, уважение и оценку их вклада, а также выражение признательности путем вознаграждения за вклад. Использование платформы HackerOne помогает нам развивать эти отношения и хорошо перекликается с нашей миссией GitLab, в которую может внести свой вклад каждый. Это включает в себя сообщения об ошибках безопасности, а не только код.

В: Как облако повлияло на безопасность GitLab? Как помогла безопасность с помощью хакеров?
Кэти: GitLab - это облачная компания. Практически нет физического офиса - все сотрудники работают удаленно в более чем 40 странах. Каждый сторонний продукт, который мы используем, основан на SaaS. GitLab.com размещен в Google Cloud. С точки зрения безопасности, нет твердого периметра. Мы должны сосредоточиться на управлении доступом и учетными данными, а также, например, на внутренних проверках безопасности приложений. Работа с хакерами помогает команде масштабироваться, так что мы можем сосредоточиться и на других областях.

В: Какое из ваших любимых обращений с хакерами на сегодняшний день? Любые любимые ошибки?
Джеймс: с @fransrosen всегда приятно работать. Он всегда сохраняет профессиональную манеру поведения, а его отчеты всегда очень подробны, демонстрируя явное влияние через его доказательство концептуальных подвигов. На сегодняшний день в программе сообщается о многих интересных ошибках, но одной из моих любимых была критическая находка от @nyangawa (отчет № 378148). Хакеру удалось обойти регулярное выражение имени файла и создать символическую ссылку в каталоге загрузки Gitlab. Уязвимость также позволила хакеру удалить импортированный проект и создать оболочку с тем же разрешением системного пользователя gitlab.

Кэти: Я также хочу поблагодарить @jobert за большой вклад, который он внес в нашу программу. В целом, мы были впечатлены уровнем профессионализма большинства хакеров, с которыми мы работали.

В: Какой совет вы бы дали другим организациям по поводу запуска программы вознаграждения за ошибки?
Кэти: Самый важный фактор при запуске программы вознаграждения за ошибки - это подготовка с точки зрения кадрового обеспечения и обеспечение наличия структуры поддержки для смягчения этих выводов. Это означает наличие инженеров, которые могут проверить результаты, отсортировать их и взаимодействовать с разработчиками для выполнения мер по снижению рисков. У нас также есть инженеры по автоматизации безопасности в группе безопасности, которые проделали значительную работу, чтобы помочь нам масштабироваться при реагировании и сортировке отчетов о результатах. Это означает более активное участие хакеров, что помогает хакерам сохранять интерес к нашей программе. Мы также наблюдаем значительное временное увеличение сообщаемых результатов с каждым увеличением награды, так что будьте к этому готовы.

Q: Что дальше?
Кэти: Наша группа безопасности увеличилась более чем в пять раз за последний год, и мы продолжим расти в 2019 году. К концу 2018 года мы прекратим поддержку TLS 1.0 и 1.1 для GitLab.com. Мы также внедряем Zero Trust в 2019 году. Мы также планируем программу геймификации для хакеров HackerOne в рамках нашей программы, чтобы предоставить интересные награды (например, эксклюзивные материалы GitLab только для HackerOne для лучших хакеров и т. Д.) Помимо выплат за вознаграждение.

Если вам интересно узнать больше о программе GitLab или заняться взломом, посетите страницу общедоступной программы GitLab по адресу https://hackerone.com/gitlab.

О HackerOne
HackerOne - номер 1 платформа безопасности на базе хакеров, помогая организациям находить и устранять критические уязвимости до того, как ими можно будет воспользоваться. HackerOne доверяют больше компаний из рейтингов Fortune 500 и Forbes Global 1000, чем любой другой хакерской альтернативе безопасности. Министерство обороны США, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Координационный центр CERT и более 1,200 других организаций объединились с HackerOne, чтобы устранить более 86,000 уязвимостей и наградить более 40 миллионов долларов в баги. Штаб-квартира HackerOne находится в Сан-Франциско, а офисы - в Лондоне, Нью-Йорке, Нидерландах и Сингапуре. Чтобы получить всесторонний взгляд на отрасль на основе крупнейшего хранилища данных об уязвимостях, о которых сообщили хакеры, загрузите Отчет о безопасности, созданной хакерами, 2018 г..

###