GitLab提供白帽子漏洞赏金五十万美元

华盟原创文章投稿奖励计划

DevOps生命周期管理人员表示,多年以来漏洞赏金计划一直很受欢迎。

GitLab为白帽子提供漏洞赏金五十万美元

GitLab已经向171名在过去一年中报告了有效漏洞的研究人员颁发了总计565650美元的安全漏洞奖金,并宣布了其最新黑客竞赛的获胜者。

GitLab最初是基于Web的Git存储库经理,然后才进入DevOps生命周期管理领域。该公司一年前于本周启动了其漏洞赏金计划,据该公司高级应用程序安全工程师Juan Broullon称,当时共收到513名白帽黑客的1378份报告。

Broullon在周四的一篇博文中写道:“这个项目让我们的工程师们保持警觉,对我们的安全团队提出了挑战让我们感到惊讶,他们帮助我们使GitLab更安全。”

Broullon写道:“在过去的一年中,我们已经开始处理一些早期的经验教训,并改进了我们与白帽子沟通的方式,悬赏奖励的方式,我们甚至为关键的严重性发现付出的代价。” 对关键缺陷的最高奖励是20000美元。

发布修复程序30天后,GitLab.com上会公开问题的详细信息。

据高级应用程序安全工程师James
Ritchey介绍,今年报告的一个更有趣的漏洞是向Gitaly(一种后端服务)注入命令,导致远程代码执行。

Ritchey说:“由于该漏洞存在于后端服务中,因此白帽子非常努力地通过代码审查来发现该漏洞,并开发了一种非常有趣的漏洞利用方式。” “该缺陷已得到快速修复,导致了更全面的努力,以在未来主动预防类似的缺陷。”

他补充说,另外两个报告反映了新功能(在本例中为graphql)如何重新引入在代码库其他地方解决的问题。

Ritchey说:“这两个例子都表明,作为一个开放核心、源代码可用的产品,白帽子可以利用其代码进行审查,从而使白帽子能够快速识别漏洞。”

黑客大赛获奖者

该平台还举办漏洞奖励竞赛。例如,在10月1日至11月30日期间,它颁发了一系列的奖项,123名白帽子共提交了279个报告。

这些类别包括写得最好的报告(由rpadovani清晰简洁的Elasticsearch报告赢得);最具创新性的报告(由ngalog在GitLab页面上披露私人数据的独特和创造性技术获得);最有影响力的发现(Chaitin Tech的nyangawa的有关导致远程代码执行的复杂路径遍历错误的报告赢得)。漏洞细节将在30天披露期结束后揭晓。

在此期间,黑客@xanbanx获得了最高的声誉得分,@peet86则获得了该程序新白帽子的最高名誉得分。

漏洞赏金进化

高速应用程序和流程开发实践被统称为DevOps,已成为许多企业的核心目标,因为他们希望更加动态地响应市场力量。而且,GitLab并不是该领域唯一一家拥有漏洞赏金的公司。

开始为其Azure DevOps在线服务和最新版本的azuredevops服务器的漏洞提供高达20000美元的奖励。Azure DevOps是2018年推出的一项云服务,支持跨开发生命周期的代码开发协作。

不仅仅是DevOps公司,各种各样的公司进行漏洞赏金计划。

Acceptto首席安全架构师Fausto Oliveira说:“漏洞赏金计划鼓励专家分析第三方代码,并以准确的方式报告他们的发现。随着开源应用程序的爆炸式增长,有太多的威胁面需要及时扫描和处理代码中的威胁,特别是在小型组织中。让社区的智慧来查看您的代码是一种辅助措施,它可以使您发现否则会遗漏的发现。需要做得更好的是将这些发现整合到开放源代码扫描工具中,以使这些发现自动化,并在整个社区中传播。”

Ritchey承认,对于被检测出的安全漏洞来说,最大的挑战之一是跟踪其进度并推动对其进行修复。

Ritchey表示:“它们很容易迷失在音量和噪音中。为帮助管理此状态下的漏洞,我们的自动化团队开发了一个升级引擎,该引擎可以跟踪漏洞的进展并确保对其进行适当的筛选、调度,并达到我们手册页中概述的平均修复时间(MTTR)目标。这样可以确保在漏洞过期,标签不足或需要升级时,主动通知所有与漏洞生命周期有关的团队。如果没有这种自动化,我们的小团队将难以跟踪和管理尚未修补的漏洞。”

本原创,作者:Jill,其版权均为华盟网所有。如需转载,请注明出处:https://www.77169.net/77169kx/247312.html