Đăng trên

Singapore, @mcgallen #microwireinfo, ngày 13 tháng 2018 năm XNUMX - HackerOne, nền tảng bảo mật hàng đầu do hacker cung cấp, đã ngồi lại với Kathy Wang và James Ritchey của GitLab, để nói về Chương trình tiền thưởng lỗi công khai mới nhất của GitLab.

GitLab là ai?

GitLab là một ứng dụng duy nhất cho toàn bộ vòng đời DevOps, giúp phát triển phần mềm dễ dàng hơn và hiệu quả hơn mà không làm giảm chất lượng hoặc bảo mật. Tổ chức sống và sử dụng mã nguồn mở, vì vậy chỉ có ý nghĩa là họ sẽ tiếp cận an ninh mạng với cùng một chiến lược nguồn mở. Sau khi chạy chương trình tiền thưởng lỗi riêng tư và chương trình tiết lộ lỗ hổng công khai (VDP) trên HackerOne, GitLab sẽ khởi chạy chương trình tiền thưởng lỗi công khai đầu tiên của họ vào hôm nay.

Phỏng vấn

Chúng tôi đã ngồi lại với Giám đốc Bảo mật Kathy Wang của GitLab và Kỹ sư Bảo mật Ứng dụng Cao cấp James Ritchey để đi sâu vào sự phát triển của chương trình GitLab theo thời gian, quyết định công khai chương trình của họ và cách tận dụng cộng đồng HackerOne đã giúp tìm và khắc phục các vấn đề bảo mật Mau. Dưới đây là sơ lược về cuộc trò chuyện:

H: Tại sao GitLab quyết định bắt đầu một chương trình tiền thưởng lỗi ngay từ đầu?
Kathy: Tại GitLab, mọi người đều có thể đóng góp. Sản phẩm của chúng tôi là mã nguồn mở. Trở lại khi GitLab bắt đầu chương trình tiền thưởng lỗi, Nhóm bảo mật còn rất mới và chương trình này cùng với HackerOne đã giúp chúng tôi mở rộng quy mô và làm nổi bật vị trí của các lỗ hổng trong sản phẩm của mình để chúng tôi có thể khắc phục chúng nhanh hơn.

H: Tại sao GitLab lại chọn HackerOne để quản lý chương trình tiền thưởng lỗi của mình? Tại sao bạn không chỉ quản lý bản thân?
Kathy: Không dễ để thuê những người giỏi trong lĩnh vực an ninh. Việc chọn HackerOne (và các chuyên gia của họ) để quản lý chương trình tiền thưởng lỗi cho phép chúng tôi tập trung vào các lĩnh vực khác cần thiết để mở rộng nỗ lực bảo mật của chúng tôi. Ví dụ: chúng tôi có thể tập trung vào việc thuê các chuyên gia bảo mật cho các nhóm Hoạt động bảo mật và An ninh ứng dụng của chúng tôi.

H: GitLab có chạy chương trình thí điểm hay chương trình tư nhân trước và VDP công cộng không? Bạn có thể cho tôi biết các chương trình đó đã chạy trong bao lâu, có bao nhiêu lỗi trong phạm vi dự án đã được tìm thấy và liệu sự thành công của nó có khiến bạn khởi chạy một chương trình chính thức không?
Kathy: Ban đầu, GitLab chạy một VDP công khai không cung cấp tiền thưởng lỗi, bắt đầu vào năm 2014. GitLab đã giới thiệu một chương trình tiền thưởng lỗi riêng tư nhỏ vào tháng 2017 năm 250. Kể từ khi ra mắt, GitLab VIP (chỉ dành cho người được mời, chương trình riêng tư) và VDP công cộng đã giải quyết gần 100 lỗ hổng bảo mật nhờ hơn 194,700 tin tặc tham gia. Chương trình VIP của GitLab đã trả XNUMX đô la tiền thưởng. Chúng tôi coi chương trình tiền thưởng lỗi riêng và VDP công khai rất thành công và đào tạo tốt cho một chương trình công khai cuối cùng. Ngày nay, cả hai chương trình đang được hợp nhất thành một chương trình tiền thưởng lỗi công khai.

Q: Tại sao chương trình được công khai bây giờ?
Kathy: Chúng tôi muốn mở rộng các giá trị đóng góp cho nguồn mở của mình để tiết lộ có trách nhiệm các lỗ hổng bảo mật, cũng như cơ sở mã nguồn của chúng tôi. Chúng tôi đã chọn khung thời gian này để công khai chương trình tiền thưởng GitLab sau khi tham khảo ý kiến ​​của nhóm HackerOne. Họ có thể cung cấp cho chúng tôi các chỉ số và hậu cần liên quan để xem xét khi công khai chương trình, để chúng tôi có thể đưa ra quyết định sáng suốt. Chúng tôi cam kết cộng tác với cộng đồng tin tặc và chúng tôi đã chuẩn bị để tạo điều kiện cho sáng kiến ​​hợp tác này bằng cách phát triển các quy trình tốt hơn và cải thiện thời gian phản hồi nhờ tự động hóa, để tin tặc sẽ muốn tiếp tục cộng tác với chúng tôi.

H: Điều gì khác biệt về chương trình tiền thưởng lỗi của GitLab và tại sao việc mở phần mềm của bạn cho tin tặc lại quan trọng?
Kathy: GitLab minh bạch hơn hầu hết các công ty. Theo quan điểm của tôi với tư cách là một học viên bảo mật lâu năm, GitLab là công ty minh bạch nhất mà tôi từng làm việc. Chúng tôi hiện công khai chi tiết về các lỗ hổng bảo mật sau 30 ngày kể từ khi các biện pháp giảm nhẹ được phát hành. Tôi không nghĩ rằng nhiều công ty làm điều này một cách nhất quán, nhưng chúng tôi thì có.

Hỏi: Chương trình tiền thưởng lỗi đã và sẽ tác động như thế nào đến chiến lược an ninh mạng lớn hơn của GitLab?
Kathy: Chúng tôi rất coi trọng vấn đề bảo mật ở đây tại GitLab và chương trình HackerOne Bounty của chúng tôi là một phần trong cách tiếp cận của chúng tôi đối với chiến lược chuyên sâu về phòng thủ. Nền tảng GitLab cũng có khả năng quét bảo mật tích hợp để cảnh báo về các lỗ hổng bảo mật liên quan đến phụ thuộc vào thư viện tại thời điểm hợp nhất mã. Chúng tôi cũng tiến hành đánh giá bảo mật ứng dụng nội bộ. Tất cả những ai đã làm trong ngành bảo mật đủ lâu đều biết rằng không có viên đạn bạc trong bảo mật - bạn phải giảm thiểu các lỗ hổng từ nhiều góc độ.

H: Với tư cách là một nền tảng mã nguồn mở, việc nuôi dưỡng mối quan hệ với cộng đồng hacker tương tự như cộng đồng nhà phát triển như thế nào?
James: Tôi muốn nói rằng việc nuôi dưỡng mối quan hệ với cộng đồng hacker ít nhiều cũng giống như việc nuôi dưỡng mối quan hệ với cộng đồng phát triển. Các điểm chính bao gồm giao tiếp minh bạch, xây dựng lòng tin, tôn trọng và đánh giá cao ý kiến ​​đóng góp của họ và thể hiện sự đánh giá cao bằng những đóng góp khen thưởng. Sử dụng nền tảng HackerOne giúp chúng tôi vun đắp những mối quan hệ đó và nó cộng hưởng tốt với sứ mệnh GitLab của chúng tôi mà mọi người đều có thể đóng góp. Điều đó bao gồm các đóng góp về lỗi bảo mật và không chỉ mã.

H: Đám mây đã ảnh hưởng đến bảo mật tại GitLab như thế nào? Bảo mật do hacker cung cấp đã giúp ích như thế nào?
Kathy: GitLab là một công ty gốc đám mây. Thực sự là không có văn phòng thực - tất cả nhân viên đều ở xa, trên hơn 40 quốc gia khác nhau. Mọi sản phẩm của bên thứ ba mà chúng tôi sử dụng đều dựa trên SaaS. GitLab.com được lưu trữ trên Google Cloud. Từ góc độ an ninh, không có một vành đai vững chắc nào. Ví dụ, chúng tôi phải tập trung vào quản lý quyền truy cập và thông tin xác thực, cũng như đánh giá bảo mật ứng dụng nội bộ. Làm việc với tin tặc giúp nhóm mở rộng quy mô, để chúng tôi cũng có thể tập trung vào các lĩnh vực khác.

Q: Cho đến nay, một trong những tương tác hacker yêu thích của bạn là gì? Bất kỳ lỗi yêu thích?
James: @fransrosen luôn rất vui khi được làm việc cùng. Anh ấy luôn duy trì một phong thái chuyên nghiệp và các báo cáo của anh ấy luôn rất chi tiết bằng cách thể hiện tác động rõ ràng thông qua bằng chứng về khai thác khái niệm của anh ấy. Có rất nhiều lỗi thú vị đã được báo cáo cho chương trình cho đến nay, nhưng một trong những lỗi yêu thích của tôi là một phát hiện quan trọng từ @nyangawa (Báo cáo # 378148). Tin tặc đã có thể vượt qua một biểu thức chính quy tên tệp và tạo một liên kết tượng trưng trong thư mục tải lên Gitlab. Lỗ hổng cũng cho phép hacker xóa một dự án đã nhập và tạo một trình bao với cùng sự cho phép của người dùng gitlab hệ thống.

Kathy: Tôi cũng muốn kêu gọi @jobert, vì những đóng góp to lớn mà anh ấy đã thực hiện cho chương trình của chúng tôi. Nhìn chung, chúng tôi đã bị ấn tượng bởi mức độ chuyên nghiệp của hầu hết các hacker mà chúng tôi đã làm việc.

H: Bạn sẽ đưa ra lời khuyên gì cho các tổ chức khác về việc bắt đầu chương trình tiền thưởng lỗi?
Kathy: Yếu tố lớn nhất khi bắt đầu một chương trình tiền thưởng lỗi là chuẩn bị từ góc độ nhân sự và đảm bảo rằng bạn có sẵn cơ cấu hỗ trợ để giảm thiểu những phát hiện đó. Điều đó có nghĩa là có các kỹ sư có thể xác nhận các phát hiện, phân loại chúng và giao tiếp với các nhà phát triển để thực hiện các biện pháp giảm thiểu. Chúng tôi cũng có các kỹ sư tự động hóa bảo mật trong nhóm Bảo mật, những người đã đóng góp nhiều công sức để giúp chúng tôi mở rộng quy mô khi phản hồi và xử lý các báo cáo phát hiện. Điều này có nghĩa là sự tham gia của tin tặc tốt hơn, giúp tin tặc quan tâm đến chương trình của chúng tôi. Chúng tôi cũng đã thấy sự gia tăng tạm thời đáng kể trong các phát hiện được báo cáo với mỗi lần tăng tiền thưởng, vì vậy hãy chuẩn bị cho điều đó.

Q: Bây giờ, tiếp theo là gì?
Kathy: Nhóm bảo mật của chúng tôi đã tăng hơn gấp 2019 lần so với năm ngoái và chúng tôi sẽ tiếp tục phát triển vào năm 2018. Đến cuối năm 1.0, chúng tôi sẽ ngừng hỗ trợ TLS 1.1 và 2019 cho GitLab.com. Chúng tôi cũng đang triển khai Zero Trust vào năm XNUMX. Chúng tôi cũng đang lên kế hoạch cho một chương trình đánh bạc dành cho tin tặc HackerOne trên chương trình của mình để cung cấp các phần thưởng thú vị (ví dụ: GitLab độc quyền chỉ dành cho HackerOne trao cho những tin tặc hàng đầu, v.v.) ngoài các khoản tiền thưởng.

Nếu bạn quan tâm đến việc tìm hiểu thêm về chương trình của GitLab hoặc muốn biết cách hack, hãy xem trang chương trình công khai của GitLab tại https://hackerone.com/gitlab.

Giới thiệu về HackerOne
HackerOne là số 1 nền tảng bảo mật do hacker cung cấp, giúp các tổ chức tìm và sửa chữa các lỗ hổng nghiêm trọng trước khi chúng có thể bị khai thác. Nhiều công ty trong danh sách Fortune 500 và Forbes Global 1000 tin tưởng HackerOne hơn bất kỳ giải pháp thay thế bảo mật nào do hacker cung cấp. Bộ Quốc phòng Hoa Kỳ, General Motors, Google, Twitter, GitHub, Nintendo, Lufthansa, Panasonic Avionics, Qualcomm, Starbucks, Dropbox, Intel, Trung tâm điều phối CERT và hơn 1,200 tổ chức khác đã hợp tác với HackerOne để giải quyết hơn 86,000 lỗ hổng bảo mật và trao giải hơn $ 40 triệu trong tiền thưởng lỗi. HackerOne có trụ sở chính tại San Francisco với các văn phòng ở London, New York, Hà Lan và Singapore. Để có cái nhìn toàn diện về ngành dựa trên kho lưu trữ lớn nhất về dữ liệu lỗ hổng do hacker báo cáo, hãy tải xuống Báo cáo bảo mật do hacker cung cấp năm 2018.

# # #