Hibavadászatra invitál a GitLab

A GitLab elindította az új hibavadász programját, amelynek keretében több ezer dollárra lehet szert tenni biztonsági rések felkutatásával.
 

A GitLab viszonylag korán kezdte a hibavadászatot, hiszen a HackerOne bevonásával már 2014-ben futtatott egy ilyen programot. Aztán tavaly bejelentette, hogy inkább egy zárt körű kezdeményezést vezet be, amelyhez nem csatlakozhatott mindenki kénye-kedve szerint. Ennek ellenére ez is sikeresnek bizonyult, hiszen 100 fehérkalapos hacker bevonásával körülbelül 250 sebezhetőségre derült fény. Ezekért összesen majdnem 200 ezer dollár jutalmat osztott ki a GitLab.
 
A „bezártságnak” azonban mostantól vége, hiszen a GitLab úgy határozott, hogy ismét nyilvánossá teszi a hibavadászatot továbbra is a HackerOne platformon keresztül. Az etikus hackerek díjazás fejében a telepítőkben, az online szolgáltatásokban és a SaaS alapú szolgáltatásokban is keresgélhetik a hibákat. A sérülékenységek típusa sem igazán korlátozott, hiszen lehet jelenteni SQL injection, XSS, CSRF, directory traversal típusú biztonsági réseket, illetve olyan egyéb sebezhetőségeket, amelyek adatlopásra vagy jogosultsági szint emelésre adnak módot.
 
A díjazás elsősorban attól függ, hogy a fehérkalaposok által - szabályoknak megfelelően, etikus módon - jelzett sérülékenységek a GitLab felhasználóinak (ügyfeleinek) mekkora hányadát érintik. Amennyiben ez az arány nagyobb mint 50 százalék, akkor a jutalom akár 12 ezer dollár is lehet.
 
A GitLab vezetője elmondta, hogy egy olyan vállalatról van szó, amelynek nincs irodája, a dolgozók távolról végzik a tevékenységüket több mint 40 országból. Sok SaaS-alapú megoldást vesznek igénybe, és a rendszereik a Google Cloudból működnek. Ezeket a sajátosságokat is figyelembe vették akkor, amikor a nyilvános hibavadászat mellett döntöttek.