GitLab提供白帽子漏洞赏金五十万美元

DevOps生命周期管理人员表示，多年以来漏洞赏金计划一直很受欢迎。

GitLab已经向171名在过去一年中报告了有效漏洞的研究人员颁发了总计565650美元的安全漏洞奖金，并宣布了其最新黑客竞赛的获胜者。

GitLab最初是基于Web的Git存储库经理，然后才进入DevOps生命周期管理领域。该公司一年前于本周启动了其漏洞赏金计划，据该公司高级应用程序安全工程师Juan Broullon称，当时共收到513名白帽黑客的1378份报告。

Broullon在周四的一篇博文中写道：“这个项目让我们的工程师们保持警觉，对我们的安全团队提出了挑战让我们感到惊讶，他们帮助我们使GitLab更安全。”

Broullon写道：“在过去的一年中，我们已经开始处理一些早期的经验教训，并改进了我们与白帽子沟通的方式，悬赏奖励的方式，我们甚至为关键的严重性发现付出的代价。” 对关键缺陷的最高奖励是20000美元。

发布修复程序30天后，GitLab.com上会公开问题的详细信息。

据高级应用程序安全工程师James
Ritchey介绍，今年报告的一个更有趣的漏洞是向Gitaly（一种后端服务）注入命令，导致远程代码执行。

Ritchey说：“由于该漏洞存在于后端服务中，因此白帽子非常努力地通过代码审查来发现该漏洞，并开发了一种非常有趣的漏洞利用方式。” “该缺陷已得到快速修复，导致了更全面的努力，以在未来主动预防类似的缺陷。”

他补充说，另外两个报告反映了新功能（在本例中为graphql）如何重新引入在代码库其他地方解决的问题。

Ritchey说：“这两个例子都表明，作为一个开放核心、源代码可用的产品，白帽子可以利用其代码进行审查，从而使白帽子能够快速识别漏洞。”

黑客大赛获奖者

该平台还举办漏洞奖励竞赛。例如，在10月1日至11月30日期间，它颁发了一系列的奖项，123名白帽子共提交了279个报告。

这些类别包括写得最好的报告（由rpadovani清晰简洁的Elasticsearch报告赢得）；最具创新性的报告（由ngalog在GitLab页面上披露私人数据的独特和创造性技术获得）；最有影响力的发现（Chaitin Tech的nyangawa的有关导致远程代码执行的复杂路径遍历错误的报告赢得）。漏洞细节将在30天披露期结束后揭晓。

在此期间，黑客@xanbanx获得了最高的声誉得分，@peet86则获得了该程序新白帽子的最高名誉得分。

漏洞赏金进化

高速应用程序和流程开发实践被统称为DevOps，已成为许多企业的核心目标，因为他们希望更加动态地响应市场力量。而且，GitLab并不是该领域唯一一家拥有漏洞赏金的公司。

开始为其Azure DevOps在线服务和最新版本的azuredevops服务器的漏洞提供高达20000美元的奖励。Azure DevOps是2018年推出的一项云服务，支持跨开发生命周期的代码开发协作。

不仅仅是DevOps公司，各种各样的公司进行漏洞赏金计划。

Acceptto首席安全架构师Fausto Oliveira说：“漏洞赏金计划鼓励专家分析第三方代码，并以准确的方式报告他们的发现。随着开源应用程序的爆炸式增长，有太多的威胁面需要及时扫描和处理代码中的威胁，特别是在小型组织中。让社区的智慧来查看您的代码是一种辅助措施，它可以使您发现否则会遗漏的发现。需要做得更好的是将这些发现整合到开放源代码扫描工具中，以使这些发现自动化，并在整个社区中传播。”

Ritchey承认，对于被检测出的安全漏洞来说，最大的挑战之一是跟踪其进度并推动对其进行修复。

Ritchey表示：“它们很容易迷失在音量和噪音中。为帮助管理此状态下的漏洞，我们的自动化团队开发了一个升级引擎，该引擎可以跟踪漏洞的进展并确保对其进行适当的筛选、调度，并达到我们手册页中概述的平均修复时间（MTTR）目标。这样可以确保在漏洞过期，标签不足或需要升级时，主动通知所有与漏洞生命周期有关的团队。如果没有这种自动化，我们的小团队将难以跟踪和管理尚未修补的漏洞。”