Открытая платформа для управления Git-репозиториями GitLab запустила публичную программу bug bounty. Получить вознаграждение за найденные уязвимости теперь сможет любой желающий. За критический баг организаторы готовы заплатить до 12 тыс. долларов.

Как сообщила глава отдела безопасности GitLab Кэти Ван (Kathy Wang), программа по поиску уязвимостей действует на платформе с 2014 года, однако изначально она не предполагала денежных выплат. В декабре 2017 года компания запустила закрытый проект bug bounty только для приглашенных разработчиков. За год избранным хакерам выплатили почти $200 тыс.

Всего в двух параллельных проектах в 2018-м приняло участие 100 человек, которые обнаружили в общей сложности 250 уязвимостей. В свою очередь, разработчики GitLab смогли сократить время отклика на сообщение о баге с 48 до 7 часов.

Теперь две программы объединили в одну. Таким образом в GitLab планируют привлечь больше заинтересованных «белых» хакеров.

Новая программа базируется на платформе Hacker One. Участники могут искать баги в установочном пакете GitLab, а также в производственных сервисах, SaaS-решениях и других продуктах компании. Получить вознаграждение можно за следующие уязвимости:

  • SQL-инъекции;
  • удаленное выполнение кода;
  • межсайтовый скриптинг;
  • межсайтовая подделка запроса (CSRF);
  • выход за пределы директории (DirectoryTraversal);
  • раскрытие информации;
  • повышение привилегий.

Уровень опасности уязвимости зависит от количества клиентов, которых она ставит под угрозу. Критическим считается баг, который затрагивает более 50% пользователей платформы. За раскрытие таких брешей исследователи получат до 12 тыс. долларов. Другие награды варьируются от 1 до 7 тыс. долларов. Однако в целом размер премии остается на усмотрение GitLab.

Программа bug bounty существует с 2014 года и у GitHub, основного конкурента GitLab. Минимальная выплата по ней составляет 555 долларов, а максимальная — 20 тыс. В 2017 году денежные премии получил 121 исследователь.

В марте 2017 года компания выплатила независимому эксперту 18 тыс. долларов за уязвимость, позволяющую удаленно выполнить код. Баг был найден в конце января, однако GitHub публично объявила о нем только спустя два месяца. Следует отметить, что GitLab, по словам Кэти Ван, публикует сведения о брешах через 30 дней после их устранения.

Категории: Кибероборона, Уязвимости