โพสต์

สิงคโปร์, @mcgallen #microwireข้อมูล, 13 ธันวาคม 2018 - HackerOne ซึ่งเป็นแพลตฟอร์มการรักษาความปลอดภัยชั้นนำที่ขับเคลื่อนโดยแฮ็กเกอร์ได้นั่งคุยกับ Kathy Wang และ James Ritchey จาก GitLab เพื่อพูดคุยเกี่ยวกับ Public Bug Bounty Program ล่าสุดของ GitLab

GitLab คือใคร?

GitLab เป็นแอปพลิเคชั่นเดียวสำหรับวงจรชีวิต DevOps ทั้งหมดทำให้การพัฒนาซอฟต์แวร์ง่ายขึ้นและมีประสิทธิภาพมากขึ้นโดยไม่ต้องเสียสละความปลอดภัยหรือคุณภาพ องค์กรมีชีวิตและมีลมหายใจโอเพ่นซอร์สดังนั้นจึงมีเหตุผลที่พวกเขาจะเข้าหาความปลอดภัยทางไซเบอร์ด้วยกลยุทธ์โอเพ่นซอร์สเดียวกัน หลังจากรันโปรแกรมรางวัลบั๊กส่วนตัวและโปรแกรมเปิดเผยช่องโหว่สาธารณะ (VDP) บน HackerOne GitLab กำลังเปิดตัวโปรแกรมรางวัลบั๊กสาธารณะเป็นครั้งแรกในวันนี้

สัมภาษณ์

เราได้พูดคุยกับ Kathy Wang ผู้อำนวยการฝ่ายความปลอดภัยของ GitLab และ James Ritchey วิศวกรด้านความปลอดภัยของแอปพลิเคชันอาวุโสเพื่อดำดิ่งสู่วิวัฒนาการของโปรแกรม GitLab ในช่วงเวลาที่ผ่านมาการตัดสินใจที่จะเผยแพร่สู่สาธารณะด้วยโปรแกรมของพวกเขาและการใช้ประโยชน์จากชุมชนของ HackerOne ช่วยในการค้นหาและแก้ไขปัญหาด้านความปลอดภัยได้อย่างไร อย่างรวดเร็ว. นี่คือการสนทนา:

ถาม: ทำไม GitLab ถึงตัดสินใจเริ่มโปรแกรมบั๊กรางวัลตั้งแต่แรก
Kathy: ที่ GitLab ทุกคนสามารถมีส่วนร่วมได้ ผลิตภัณฑ์ของเราเป็นโอเพ่นซอร์ส ย้อนกลับไปเมื่อ GitLab เริ่มต้นโปรแกรมบั๊กรางวัลทีมรักษาความปลอดภัยเป็นโปรแกรมใหม่มากและโปรแกรมนี้กับ HackerOne ช่วยให้เราปรับขนาดและเน้นว่าช่องโหว่อยู่ที่ใดในผลิตภัณฑ์ของเราเพื่อให้เราแก้ไขได้เร็วขึ้น

ถาม: ทำไม GitLab ถึงเลือก HackerOne เพื่อจัดการโปรแกรมบั๊กค่าหัว ทำไมคุณไม่แค่จัดการตัวเอง
Kathy: การจ้างคนที่มีความปลอดภัยสูงนั้นไม่ใช่เรื่องง่าย การเลือก HackerOne (และผู้เชี่ยวชาญของพวกเขา) เพื่อจัดการโปรแกรมรางวัลบั๊กของเราทำให้เรามุ่งเน้นไปที่ส่วนอื่น ๆ ที่จำเป็นเพื่อปรับขนาดความพยายามด้านความปลอดภัยของเรา ตัวอย่างเช่นเราสามารถมุ่งเน้นไปที่การจ้างผู้ปฏิบัติงานด้านความปลอดภัยสำหรับทีมปฏิบัติการด้านความปลอดภัยและความปลอดภัยของแอปพลิเคชันของเรา

ถาม: GitLab รันโปรแกรมนำร่องหรือโปรแกรมส่วนตัวก่อนและเป็น VDP สาธารณะหรือไม่ คุณช่วยบอกฉันได้ไหมว่าโปรแกรมเหล่านั้นทำงานมานานเท่าใดพบข้อบกพร่องภายในขอบเขตโครงการจำนวนเท่าใดและหากความสำเร็จทำให้คุณเปิดโปรแกรมอย่างเป็นทางการ
Kathy: เริ่มแรก GitLab ใช้งาน VDP สาธารณะที่ไม่ได้ให้รางวัลบั๊กซึ่งเริ่มต้นในปี 2014 GitLab เปิดตัวโปรแกรมรางวัลบั๊กส่วนตัวขนาดเล็กในเดือนธันวาคม 2017 นับตั้งแต่เปิดตัว GitLab VIP (โปรแกรมเฉพาะผู้ได้รับเชิญเท่านั้น) และ VDP สาธารณะสามารถแก้ไขช่องโหว่ได้เกือบ 250 ช่องโดยมีแฮกเกอร์ที่เข้าร่วมกว่า 100 คน โปรแกรม GitLab VIP จ่ายเงินรางวัล $ 194,700 เราถือว่าโปรแกรมรางวัลบั๊กส่วนตัวและ VDP สาธารณะประสบความสำเร็จอย่างมากและมีการฝึกอบรมที่ดีสำหรับการเปิดตัวโปรแกรมสาธารณะในที่สุด วันนี้ทั้งสองโปรแกรมจะถูกรวมเข้าเป็นโปรแกรมรางวัลบั๊กสาธารณะ

ถาม: ทำไมรายการถึงเผยแพร่สู่สาธารณะในขณะนี้
Kathy: เราต้องการขยายค่าการมีส่วนร่วมของโอเพ่นซอร์สไปสู่การเปิดเผยช่องโหว่ด้านความปลอดภัยอย่างมีความรับผิดชอบรวมถึงฐานซอร์สโค้ดของเรา เราเลือกกรอบเวลานี้เพื่อเผยแพร่สู่สาธารณะด้วยโปรแกรมเงินรางวัล GitLab หลังจากปรึกษากับทีม HackerOne พวกเขาสามารถให้เมตริกและโลจิสติกส์ที่เกี่ยวข้องกับเราเพื่อพิจารณาเมื่อเปิดโปรแกรมสู่สาธารณะเพื่อให้เราสามารถตัดสินใจได้อย่างชาญฉลาด เรามุ่งมั่นที่จะร่วมมือกับชุมชนแฮ็กเกอร์และเราได้เตรียมที่จะอำนวยความสะดวกในการริเริ่มความร่วมมือนี้โดยการพัฒนากระบวนการที่ดีขึ้นและปรับปรุงเวลาตอบสนองด้วยระบบอัตโนมัติเพื่อให้แฮกเกอร์ต้องการที่จะทำงานร่วมกับเราต่อไป

ถาม: อะไรคือความแตกต่างเกี่ยวกับโปรแกรมบั๊กของ GitLab และเหตุใดการเปิดซอฟต์แวร์ของคุณให้กับแฮกเกอร์จึงมีความสำคัญ
Kathy: GitLab มีความโปร่งใสมากกว่า บริษัท ส่วนใหญ่ จากมุมมองของฉันในฐานะผู้ปฏิบัติงานด้านความปลอดภัยมายาวนาน GitLab เป็น บริษัท ที่โปร่งใสที่สุดที่ฉันเคยทำงานมา ขณะนี้เราเปิดเผยรายละเอียดของช่องโหว่ด้านความปลอดภัยต่อสาธารณะ 30 วันหลังจากเผยแพร่การบรรเทาผลกระทบ ฉันไม่คิดว่าหลาย บริษัท จะทำสิ่งนี้อย่างสม่ำเสมอ แต่เราทำ

ถาม: โปรแกรมเงินรางวัลบั๊กจะส่งผลต่อกลยุทธ์การรักษาความปลอดภัยทางไซเบอร์ที่ใหญ่ขึ้นของ GitLab อย่างไร
Kathy: เราให้ความสำคัญกับการรักษาความปลอดภัยที่ GitLab เป็นอย่างมากและโปรแกรม HackerOne Bounty ของเราเป็นส่วนหนึ่งของแนวทางของเราสำหรับกลยุทธ์การป้องกันในเชิงลึกของเรา แพลตฟอร์ม GitLab ยังมีความสามารถในการสแกนความปลอดภัยในตัวซึ่งจะแจ้งเตือนเกี่ยวกับช่องโหว่ด้านความปลอดภัยที่เกี่ยวข้องกับการพึ่งพาไลบรารีในขณะที่ผสานรหัส เรายังดำเนินการตรวจสอบความปลอดภัยของแอปพลิเคชันภายใน ทุกคนที่อยู่ในอุตสาหกรรมการรักษาความปลอดภัยมานานพอจะทราบดีว่าไม่มีกระสุนเงินในการรักษาความปลอดภัย - คุณต้องลดช่องโหว่จากหลาย ๆ มุม

ถาม: ในฐานะที่เป็นแพลตฟอร์มโอเพ่นซอร์สในตัวคุณเองการส่งเสริมความสัมพันธ์กับชุมชนแฮ็กเกอร์จะคล้ายกับชุมชนนักพัฒนาอย่างไร
James: ฉันจะบอกว่าการส่งเสริมความสัมพันธ์กับชุมชนแฮ็กเกอร์นั้นไม่มากก็น้อยเหมือนกับการส่งเสริมความสัมพันธ์กับชุมชนการพัฒนา ประเด็นสำคัญ ได้แก่ การสื่อสารที่โปร่งใสการสร้างความไว้วางใจการเคารพและให้คุณค่ากับข้อมูลของพวกเขาและการแสดงความขอบคุณด้วยการให้รางวัลตอบแทน การใช้แพลตฟอร์ม HackerOne ช่วยให้เราปลูกฝังความสัมพันธ์เหล่านั้นและสอดคล้องกับภารกิจ GitLab ของเราที่ทุกคนสามารถมีส่วนร่วมได้ ซึ่งรวมถึงการสนับสนุนข้อบกพร่องด้านความปลอดภัยไม่ใช่แค่โค้ด

ถาม: ระบบคลาวด์มีผลต่อความปลอดภัยที่ GitLab อย่างไร การรักษาความปลอดภัยโดยแฮ็กเกอร์ช่วยได้อย่างไร
Kathy: GitLab เป็น บริษัท ที่ใช้ระบบคลาวด์ ไม่มีสำนักงานจริง - พนักงานทุกคนอยู่ห่างไกลในกว่า 40 ประเทศ ผลิตภัณฑ์ของบุคคลที่สามทั้งหมดที่เราใช้เป็นแบบ SaaS GitLab.com โฮสต์บน Google Cloud ไม่มีขอบเขตที่มั่นคงจากมุมมองด้านความปลอดภัย เราต้องให้ความสำคัญกับการจัดการการเข้าถึงและการรับรองเช่นเดียวกับการตรวจสอบความปลอดภัยของแอปพลิเคชันภายในเป็นต้น การทำงานร่วมกับแฮกเกอร์จะช่วยให้ทีมมีขนาดเพื่อให้เราสามารถมุ่งเน้นไปที่ด้านอื่น ๆ

ถาม: อะไรคือหนึ่งในการโต้ตอบของแฮ็กเกอร์ที่คุณชื่นชอบจนถึงปัจจุบัน ข้อบกพร่องใด ๆ ที่ชื่นชอบ?
James: @fransrosen ยินดีที่ได้ร่วมงานด้วยเสมอ เขารักษาท่าทางที่เป็นมืออาชีพอยู่เสมอและรายงานของเขามักจะมีรายละเอียดมากโดยแสดงผลกระทบที่ชัดเจนผ่านการพิสูจน์การหาประโยชน์จากแนวคิดของเขา มีข้อบกพร่องที่น่าสนใจมากมายที่รายงานไปยังโปรแกรมจนถึงปัจจุบัน แต่รายการโปรดของฉันคือการค้นพบที่สำคัญจาก @nyangawa (รายงาน # 378148) แฮ็กเกอร์สามารถข้ามนิพจน์ทั่วไปของชื่อไฟล์และสร้างลิงก์สัญลักษณ์ในไดเร็กทอรีอัปโหลด Gitlab ช่องโหว่นี้ยังอนุญาตให้แฮ็กเกอร์ลบโปรเจ็กต์ที่นำเข้าและสร้างเชลล์โดยได้รับอนุญาตแบบเดียวกันกับผู้ใช้ gitlab ระบบ

Kathy: ฉันอยากจะเรียก @jobert ด้วยสำหรับการมีส่วนร่วมที่ยิ่งใหญ่ที่เขาได้ทำในโปรแกรมของเรา โดยรวมแล้วเราประทับใจในระดับความเป็นมืออาชีพจากแฮกเกอร์ส่วนใหญ่ที่เราเคยทำงานด้วย

ถาม: คุณจะให้คำแนะนำอะไรกับองค์กรอื่น ๆ เกี่ยวกับการเริ่มโปรแกรมบั๊กรางวัล?
Kathy: ปัจจัยที่ใหญ่ที่สุดในการเริ่มต้นโปรแกรมรางวัลบั๊กคือการเตรียมความพร้อมจากมุมมองของพนักงานและตรวจสอบให้แน่ใจว่าคุณมีโครงสร้างสนับสนุนเพื่อลดการค้นพบเหล่านั้น นั่นหมายถึงการมีวิศวกรที่สามารถตรวจสอบความถูกต้องของสิ่งที่ค้นพบทดสอบและเชื่อมต่อกับนักพัฒนาเพื่อดำเนินการบรรเทาผลกระทบ นอกจากนี้เรายังมีวิศวกรระบบรักษาความปลอดภัยอัตโนมัติในทีมรักษาความปลอดภัยซึ่งทำงานสำคัญเพื่อช่วยเราในการปรับขนาดเมื่อตอบสนองและทดสอบรายงานการค้นพบ ซึ่งหมายถึงการมีส่วนร่วมของแฮ็กเกอร์ที่ดีขึ้นซึ่งช่วยให้แฮกเกอร์สนใจโปรแกรมของเรา นอกจากนี้เรายังได้เห็นรายงานการค้นพบที่เพิ่มขึ้นอย่างมีนัยสำคัญชั่วคราวด้วยการเพิ่มขึ้นของค่าหัวแต่ละครั้งดังนั้นโปรดเตรียมพร้อมสำหรับสิ่งนั้น

ถาม: ตอนนี้มีอะไรต่อไป
Kathy: ทีมรักษาความปลอดภัยของเรามีมากกว่าปีที่แล้วถึงสี่เท่าและเราจะเติบโตต่อไปในปี 2019 ภายในสิ้นปี 2018 เราจะยุติการสนับสนุน TLS 1.0 และ 1.1 สำหรับ GitLab.com นอกจากนี้เรายังเปิดตัว Zero Trust ในปี 2019 นอกจากนี้เรายังวางแผนโปรแกรม gamification สำหรับแฮ็กเกอร์ HackerOne ในโปรแกรมของเราเพื่อมอบรางวัลที่น่าสนใจ (เช่น HackerOne-only GitLab สุดพิเศษสำหรับแฮกเกอร์ชั้นนำ ฯลฯ ) นอกเหนือจากการจ่ายเงินรางวัลมากมาย

หากคุณสนใจที่จะเรียนรู้เพิ่มเติมเกี่ยวกับโปรแกรมของ GitLab หรือต้องการแฮ็คโปรดดูหน้าโปรแกรมสาธารณะ GitLab ที่ https://hackerone.com/gitlab.

เกี่ยวกับ HackerOne
HackerOne เป็นอันดับ 1 แพลตฟอร์มความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ช่วยให้องค์กรค้นหาและแก้ไขช่องโหว่ที่สำคัญก่อนที่จะถูกใช้ประโยชน์ บริษัท ที่ติดอันดับ Fortune 500 และ Forbes Global 1000 จำนวนมากให้ความไว้วางใจ HackerOne มากกว่าทางเลือกด้านความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์อื่น ๆ กระทรวงกลาโหมสหรัฐฯ General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, CERT Coordination Center และองค์กรอื่น ๆ อีกกว่า 1,200 แห่งได้ร่วมมือกับ HackerOne เพื่อแก้ไขช่องโหว่กว่า 86,000 รายการและมอบรางวัล มากกว่า $ 40M ใน รางวัลบั๊ก. HackerOne มีสำนักงานใหญ่ในซานฟรานซิสโกโดยมีสำนักงานอยู่ในลอนดอนนิวยอร์กเนเธอร์แลนด์และสิงคโปร์ หากต้องการดูภาพรวมของอุตสาหกรรมโดยอิงจากพื้นที่เก็บข้อมูลที่ใหญ่ที่สุดของแฮ็กเกอร์ที่รายงานข้อมูลช่องโหว่ให้ดาวน์โหลดไฟล์ รายงานความปลอดภัยที่ขับเคลื่อนโดยแฮ็กเกอร์ 2018.

# # #