发表于

新加坡,@mcgallen#microwire资讯,13年2018月XNUMX日–由黑客主导的领先安全平台HackerOne与GitLab的Kathy Wang和James Ritchey坐下来,谈论GitLab的最新公共漏洞赏金计划。

谁是GitLab?

GitLab是整个DevOps生命周期的单个应用程序,可在不牺牲安全性或质量的情况下使软件开发更轻松,更高效。 该组织生活和呼吸开源,因此只有在他们采用相同的开源策略来实现网络安全的情况下才有意义。 在HackerOne上运行了私人漏洞赏金计划和公共漏洞披露程序(VDP)之后,GitLab今天启动了他们的第一个公共漏洞赏金计划。

访谈

我们与GitLab的安全总监Kathy Wang和高级应用程序安全工程师James Ritchey坐下来,深入探讨了GitLab程序随着时间的演变,他们决定公开发布其程序以及决定如何利用HackerOne社区来帮助发现和解决安全问题。很快。 窥视一下对话:

问:GitLab为什么首先决定启动漏洞赏金计划?
Kathy:在GitLab,每个人都可以贡献力量。 我们的产品是开源的。 早在GitLab启动漏洞赏金计划时,安全团队就非常陌生,而这个与HackerOne合作的计划帮助我们扩展并强调了产品中漏洞的位置,因此我们可以更快地修复它们。

问:GitLab为什么选择HackerOne来管理其漏洞赏金计划? 你为什么不仅仅管理自己?
凯西:要聘请安全方面的伟人并不容易。 选择HackerOne(及其专家)来管理我们的漏洞赏金计划,使我们能够专注于扩展安全工作所需的其他领域。 例如,我们能够集中精力为我们的应用程序安全和安全运营团队雇用安全从业人员。

问:GitLab是否先运行试点或私有程序以及公共VDP? 您能告诉我这些程序运行了多长时间,在项目范围内发现了多少错误以及是否成功导致您启动了正式程序?
凯西(Kathy):最初,GitLab运行了一个不提供漏洞赏金的公共VDP,该计划于2014年启动。GitLab在2017年250月推出了一个小型私人漏洞赏金计划。自启动以来,GitLab VIP(仅邀请私人程序)和归功于100多个参与的黑客,公共VDP已解决了近194,700个漏洞。 GitLab VIP计划已经支付了XNUMX美元的赏金。 我们认为私人漏洞赏金计划和公共VDP计划非常成功,并且为最终的公共计划启动提供了良好的培训。 今天,这两个程序都被合并到一个公共漏洞赏金程序中。

问:为什么该程序现在要公开?
Kathy:我们希望将开源贡献值扩展到负责任的安全漏洞披露以及源代码库中。 在与HackerOne团队协商后,我们选择了这个时间表来与GitLab赏金计划一起公开。 他们能够为我们提供相关的指标和后勤考虑,以便在计划公开时进行考虑,以便我们做出明智的决定。 我们致力于与黑客社区进行合作,并且我们一直在准备通过开发更好的流程和缩短自动化响应时间来促进这种协作计划,从而使黑客希望继续与我们合作。

问:GitLab的漏洞赏金计划有何不同?为什么向黑客开放您的软件很重要?
凯西:GitLab比大多数公司更透明。 从我作为长期安全从业人员的角度来看,GitLab是我所服务过的最透明的公司。 我们目前已在缓解措施发布30天后公开了安全漏洞的详细信息。 我认为许多公司都不会一贯这样做,但我们会这样做。

问:漏洞赏金计划将如何影响GitLab的大型网络安全战略?
Kathy:我们在GitLab上非常重视安全性,我们的HackerOne Bounty计划是我们用于深度防御策略的方法的一部分。 GitLab平台还具有内置的安全扫描功能,可在代码合并时警告与库依赖关系相关的安全漏洞。 我们还进行内部应用程序安全性审查。 每个在安全行业工作了足够长的时间的人都知道安全中没有万灵药–您必须从多个角度缓解漏洞。

问:作为一个开源平台,与黑客社区和开发人员社区之间的关系如何发展?
詹姆斯:我想说与黑客社区建立关系与与开发社区建立关系差不多。 重点包括透明的沟通,建立信任,尊重和重视他们的投入以及通过奖励贡献来表示赞赏。 使用HackerOne平台可以帮助我们建立这种关系,并且与每个人都可以贡献力量的GitLab使命共鸣。 这包括安全性错误贡献,而不仅仅是代码。

问:云如何影响GitLab的安全性? 黑客驱动的安全性如何提供帮助?
凯西:GitLab是一家云原生公司。 实际上没有物理办公室–所有员工都分布在40多个不同国家的偏远地区。 我们使用的每个第三方产品都是基于SaaS的。 GitLab.com托管在Google Cloud上。 从安全角度来看,没有牢固的边界。 例如,我们必须专注于访问和证书管理以及内部应用程序安全性审查。 与黑客合作可帮助扩大团队规模,以便我们也可以专注于其他领域。

问:迄今为止,您最喜欢的黑客互动是什么? 有没有喜欢的错误?
詹姆斯:@fransrosen总是很高兴与您合作。 他始终保持专业的举止,并且通过他的概念证明证明其具有明显的影响力,因此他的报告总是非常详尽。 迄今为止,该程序已经报告了许多有趣的错误,但是我最喜欢的一个错误是@nyangawa的一个关键发现(报告#378148)。 黑客能够绕过文件名正则表达式,并在Gitlab上传目录中创建符号链接。 该漏洞还允许。黑客删除了导入的项目并创建了具有系统gitlab用户相同权限的shell。

凯西:我也想请@jobert,感谢他为我们的计划做出的巨大贡献。 总体而言,与我们合作过的大多数黑客对我们的专业水平都印象深刻。

问:对于启动错误赏金计划,您会给其他组织什么建议?
Kathy:启动人员赏金计划时,最大的因素是从人员配备的角度出发,并确保拥有适当的支持结构以减轻这些发现。 这意味着拥有可以验证发现,对发现进行分类并与开发人员交互以执行缓解措施的工程师。 我们在安全团队中也有安全自动化工程师,他们在响应和分类结果报告时进行了大量工作,以帮助我们扩展规模。 这意味着更好的黑客参与度,这有助于黑客对我们的计划保持兴趣。 我们还发现报告的发现随着赏金的增加而暂时增加,因此请为此做好准备。

问:现在,下一步是什么?
Kathy:我们的安全团队在过去一年中增长了五倍,我们将在2019年继续增长。到2018年底,我们将停止对GitLab.com的TLS 1.0和1.1的支持。 我们还计划在2019年推出“零信任”计划。我们还计划在我们的计划中为HackerOne黑客提供游戏化计划,以提供赏金以外的有趣奖励(例如,仅将HackerOne专有的GitLab奖励给顶级黑客,等等)。

如果您有兴趣了解有关GitLab程序的更多信息或想要被黑客入侵,请访问以下网址查看GitLab公共程序页面: https://hackerone.com/gitlab.

关于HackerOne
HackerOne是第一名 黑客驱动的安全平台,帮助组织发现并修复关键漏洞,然后加以利用。 与其他任何由黑客提供支持的安全性替代方案相比,更多的《财富》 500强和《福布斯》全球1000强公司信任HackerOne。 美国国防部,通用汽车,谷歌,Twitter,GitHub,任天堂,汉莎航空,松下航空电子,高通,星巴克,Dropbox,英特尔,CERT协调中心以及1,200多家其他组织已与HackerOne合作解决了86,000多个漏洞并获得奖励超过40万美元 bug赏金。 HackerOne的总部位于旧金山,在伦敦,纽约,荷兰和新加坡设有办事处。 要根据最大的黑客报告漏洞数据存储库对该行业进行全面了解,请下载 黑客驱动的安全报告2018.

###