發佈於

新加坡,@mcgallen#microwire資訊,13年2018月XNUMX日–由黑客主導的領先安全平台HackerOne與GitLab的Kathy Wang和James Ritchey坐下來,談論GitLab的最新公共漏洞賞金計劃。

誰是GitLab?

GitLab是整個DevOps生命週期的單個應用程序,可在不犧牲安全性或質量的情況下使軟件開發更輕鬆,更高效。 該組織生活和呼吸開源,因此只有在他們採用相同的開源策略來實現網絡安全的情況下才有意義。 在HackerOne上運行了私人漏洞賞金計劃和公共漏洞披露程序(VDP)之後,GitLab今天啟動了他們的第一個公共漏洞賞金計劃。

訪問

We sat down with GitLab's Director of Security Kathy Wang and Senior Application Security Engineer James Ritchey to dive into the evolution of GitLab's program over time, their decision to go public with their program, and how leveraging HackerOne's community has helped to find and fix security issues quickly.我們與GitLab的安全總監Kathy Wang和高級應用程序安全工程師James Ritchey坐下來,深入探討了GitLab程序隨著時間的演變,他們決定公開發布其程序以及決定如何利用HackerOne的社區幫助發現和解決安全問題很快。 Here's a peek at the conversation:窺視一下對話:

問:GitLab為什麼首先決定啟動漏洞賞金計劃?
Kathy:在GitLab,每個人都可以貢獻力量。 我們的產品是開源的。 早在GitLab啟動漏洞賞金計劃時,安全團隊就非常陌生,而這個與HackerOne合作的計劃幫助我們擴展並強調了產品中漏洞的位置,因此我們可以更快地修復它們。

問:GitLab為什麼選擇HackerOne來管理其漏洞賞金計劃? 你為什麼不僅僅管理自己?
Kathy: It isn't easy to hire great people in security.凱西:要聘請安全方面的偉人並不容易。 Choosing HackerOne (and their experts) to manage our bug bounty program allowed us to focus in other areas required to scale our security efforts.選擇HackerOne(及其專家)來管理我們的漏洞賞金計劃,使我們能夠專注於擴展安全工作所需的其他領域。 For example, we were able to focus on hiring security practitioners for our Application Security and Security Operations teams.例如,我們能夠集中精力為我們的應用程序安全和安全運營團隊僱用安全從業人員。

問:GitLab是否先運行試點或私有程序以及公共VDP? 您能告訴我這些程序運行了多長時間,在項目範圍內發現了多少錯誤以及是否成功導致您啟動了正式程序?
Kathy:GitLab最初運行的公共VDP不提供漏洞賞金,該計劃於2014年啟動。GitLab於2017年250月推出了一個小型私人Bug賞金計劃。自啟動以來,GitLab VIP(僅邀請私人程序)和歸功於100多個參與的黑客,公共VDP已解決了近194,700個漏洞。 GitLab VIP計劃已經支付了XNUMX美元的賞金。 We considered the private bug bounty program and public VDP tremendously successful and good training for an eventual public program launch.我們認為私人漏洞賞金計劃和公共VDP計劃非常成功,並且為最終的公共計劃啟動提供了良好的培訓。 Today, both programs are being consolidated into one public bug bounty program.今天,這兩個程序都被合併到一個公共漏洞賞金程序中。

問:為什麼該程序現在要公開?
Kathy:我們希望將開源貢獻值擴展到負責任的安全漏洞披露以及源代碼庫中。 We picked this timeframe to go public with the GitLab bounty program after consulting with the HackerOne team.在與HackerOne團隊協商後,我們選擇了這個時間表來與GitLab賞金計劃一起公開。 They were able to provide us with relevant metrics and logistics to consider when taking a program public, so that we could make an informed decision.他們能夠為我們提供相關的指標和後勤考慮,以便在程序公開時予以考慮,以便我們做出明智的決定。 We are committed to collaborating with the hacker community, and we've been preparing to facilitate this collaborative initiative by developing better processes and improving response times with automation, so that hackers will want to continue to collaborate with us.我們致力於與黑客社區進行合作,並且我們一直在準備通過開發更好的流程並通過自動化來縮短響應時間來促進這種協作計劃,以便黑客希望繼續與我們合作。

問:GitLab的漏洞賞金計劃有何不同?為什麼向黑客開放您的軟件很重要?
凱西:GitLab比大多數公司更透明。 從我作為長期安全從業人員的角度來看,GitLab是我所服務過的最透明的公司。 我們目前已在緩解措施發布30天后公開了安全漏洞的詳細信息。 我認為許多公司都不會一貫這樣做,但我們會這樣做。

問:漏洞賞金計劃將如何影響GitLab的大型網絡安全戰略?
Kathy:我們在GitLab上非常重視安全性,我們的HackerOne Bounty計劃是我們用於深度防禦策略的方法的一部分。 GitLab平台還具有內置的安全掃描功能,可在代碼合併時警告與庫依賴關係相關的安全漏洞。 We also conduct internal application security reviews.我們還進行內部應用程序安全性審查。 Everyone who has been in the security industry long enough knows that there is no silver bullet in security – you have to mitigate vulnerabilities from multiple angles.每個在安全行業工作了足夠長的時間的人都知道安全中沒有萬靈藥–您必須從多個角度緩解漏洞。

問:作為一個開源平台,與黑客社區和開發人員社區之間的關係如何發展?
詹姆斯:我想說與黑客社區建立關係與與開發社區建立關係差不多。 關鍵點包括透明的溝通,建立信任,尊重和重視他們的投入以及通過獎勵貢獻來表示讚賞。 使用HackerOne平台可以幫助我們建立這種關係,並且與每個人都可以貢獻力量的GitLab使命共鳴。 這包括安全性錯誤貢獻,而不僅僅是代碼。

問:云如何影響GitLab的安全性? 黑客驅動的安全性如何提供幫助?
GitLab.com託管在Google Cloud上。 There is no firm perimeter, from a security perspective.從安全角度來看,沒有牢固的邊界。 We have to focus on access and credentialing management, as well as internal application security reviews, for example.例如,我們必須專注於訪問和證書管理以及內部應用程序安全性審查。 Working with hackers helps the team scale, so that we can focus on other areas as well.與黑客合作可幫助擴大團隊規模,以便我們也可以專注於其他領域。

問:迄今為止,您最喜歡的黑客互動是什麼? 有沒有喜歡的錯誤?
詹姆斯:@fransrosen總是很高興與您合作。 他始終保持專業的舉止,並且通過他的概念證明證明其具有明顯的影響力,因此他的報告總是非常詳盡。 迄今為止,該程序已經報告了許多有趣的錯誤,但是我最喜歡的一個錯誤是@nyangawa的一個關鍵發現(報告#378148)。 黑客能夠繞過文件名正則表達式,並在Gitlab上傳目錄中創建符號鏈接。 該漏洞還允許。黑客刪除了導入的項目並創建了具有系統gitlab用戶相同權限的shell。

凱西:我也想請@jobert,感謝他為我們的計劃做出的巨大貢獻。 總體而言,與我們合作過的大多數黑客對我們的專業水平都印象深刻。

問:對於啟動錯誤賞金計劃,您會給其他組織什麼建議?
Kathy:啟動人員賞金計劃時,最大的因素是從人員配備的角度出發,並確保擁有適當的支持結構以減輕這些發現。 That means having engineers who can validate the findings, triage them, and interface with developers to execute the mitigations.這意味著擁有可以驗證發現,對發現進行分類並與開發人員交互以執行緩解措施的工程師。 We also have security automation engineers on the Security team who have put in significant work to help us scale when responding and triaging the findings reports.我們在安全團隊中也有安全自動化工程師,他們在響應和分類結果報告時進行了大量工作,以幫助我們擴展規模。 This means better hacker engagement, which helps hackers stay interested in our program.這意味著更好的黑客參與度,這有助於黑客對我們的計劃保持興趣。 We've also seen significant temporary increases in reported findings with each bounty increase, so be prepared for that.我們還發現報告的發現隨著賞金的增加而暫時增加,因此請為此做好準備。

問:現在,下一步是什麼?
Kathy:我們的安全團隊在過去一年中增長了五倍,我們將在2019年繼續增長。到2018年底,我們將停止對GitLab.com的TLS 1.0和1.1的支持。 我們還計劃在2019年推出“零信任”計劃。我們還計劃在我們的計劃中為HackerOne黑客提供遊戲化計劃,以提供賞金以外的有趣獎勵(例如,僅將HackerOne專有的GitLab獎勵給頂級黑客,等等)。

如果您有興趣了解有關GitLab程序的更多信息或想要被黑客入侵,請訪問以下網址查看GitLab公共程序頁面: https://hackerone.com/gitlab.

關於HackerOne
HackerOne是第一名 黑客驅動的安全平台,幫助組織發現並修復關鍵漏洞,然後加以利用。 與其他任何由黑客提供支持的安全性替代方案相比,更多的《財富》 500強和《福布斯》全球1000強公司信任HackerOne。 美國國防部,通用汽車,谷歌,Twitter,GitHub,任天堂,漢莎航空,松下航空電子,高通,星巴克,Dropbox,英特爾,CERT協調中心以及1,200多家其他組織已與HackerOne合作解決了86,000多個漏洞並獲得獎勵超過40萬美元 bug賞金。 HackerOne的總部位於舊金山,在倫敦,紐約,荷蘭和新加坡設有辦事處。 要根據最大的黑客報告漏洞數據存儲庫對該行業進行全面了解,請下載 黑客驅動的安全報告2018.

###