Hibavadászatra invitál a GitLab

A GitLab elindította az új hibavadász programját, amelynek keretében több ezer dollárra lehet szert tenni biztonsági rések felkutatásával.
 
hirdetés

A GitLab viszonylag korán kezdte a hibavadászatot, hiszen a HackerOne bevonásával már 2014-ben futtatott egy ilyen programot. Aztán tavaly bejelentette, hogy inkább egy zárt körű kezdeményezést vezet be, amelyhez nem csatlakozhatott mindenki kénye-kedve szerint. Ennek ellenére ez is sikeresnek bizonyult, hiszen 100 fehérkalapos hacker bevonásával körülbelül 250 sebezhetőségre derült fény. Ezekért összesen majdnem 200 ezer dollár jutalmat osztott ki a GitLab.
 
A „bezártságnak” azonban mostantól vége, hiszen a GitLab úgy határozott, hogy ismét nyilvánossá teszi a hibavadászatot továbbra is a HackerOne platformon keresztül. Az etikus hackerek díjazás fejében a telepítőkben, az online szolgáltatásokban és a SaaS alapú szolgáltatásokban is keresgélhetik a hibákat. A sérülékenységek típusa sem igazán korlátozott, hiszen lehet jelenteni SQL injection, XSS, CSRF, directory traversal típusú biztonsági réseket, illetve olyan egyéb sebezhetőségeket, amelyek adatlopásra vagy jogosultsági szint emelésre adnak módot.
 
A díjazás elsősorban attól függ, hogy a fehérkalaposok által - szabályoknak megfelelően, etikus módon - jelzett sérülékenységek a GitLab felhasználóinak (ügyfeleinek) mekkora hányadát érintik. Amennyiben ez az arány nagyobb mint 50 százalék, akkor a jutalom akár 12 ezer dollár is lehet.
 
A GitLab vezetője elmondta, hogy egy olyan vállalatról van szó, amelynek nincs irodája, a dolgozók távolról végzik a tevékenységüket több mint 40 országból. Sok SaaS-alapú megoldást vesznek igénybe, és a rendszereik a Google Cloudból működnek. Ezeket a sajátosságokat is figyelembe vették akkor, amikor a nyilvános hibavadászat mellett döntöttek.
Vélemények
 
  1. 3

    A Linux Kernel esetében egy közepes veszélysességű sebzhetőséget kell kezelni.

  2. 3

    Az IBM Notes 9 és a Domino 9 is kapott egy-egy hibajavítást.

  3. 1

    A Whisperer trójai titkosítottan kommunikál a támadókkal, miközben teljesen kiszolgáltatottá teszi az általa megfertőzött PC-ket.

 
Partnerhírek
Meghackelték a Radioheadet

​A rockzenekar énekesének számítógépére betörő hacker 150 ezer fontot követelt

​Rúgjuk ki az adathalász teszten elbukó alkalmazottat?

Az amerikai pénzügyi vállalatoknál egyre gyakoribb, hogy az adathalász teszteken megbukó alkalmazottakat kirúgják a cégtől. Szerintünk ehelyett valamivel több türelemre és oktatásra lenne szükség.

hirdetés
Közösség
1