本周,开源的 Git 仓库管理系统 GitLab 宣布推出公开的漏洞奖励计划。研究人员如在产品和服务中发现严重漏洞,最高可获得1.2万美元的奖励。
GitLab 旨在通过提供可用于整个 DevOps 生命周期的开源平台让软件开发更容易更高效。虽然在很多方面它类似于 GitHub,但GitLab 最近融资1亿美元,提供范围更广的服务。
2014年,GitLab 在 HackerOne 的协助下推出漏洞披露计划。去年,该公司表示小型私密漏洞奖励计划共为100多名白帽黑客找到的250个左右的漏洞支付约20万美元。
GitLab 目前决定通过 HackerOne 推出公开漏洞奖励计划,涵盖 GitLab 安装、生产服务及其它产品如 SaaS 服务。
研究人员已受邀报告 SQL 注入、远程代码执行、XSS、CSRF、目录遍历、权限提升和信息泄漏漏洞。
严重漏洞即影响人数超过一半的 GitLab 客户基,可获得最多1.2万美元的奖励,而高危漏洞则价值最高达7000美元。
GitLab 公司的安全总监 Kathy Wang 表示,“GitLab 是一家云公司,我们并没有设置实体办事处,所有的员工都是远程工作,遍布40多个不同的国家。我们使用的所有第三方产品都基于 SaaS。GitLab.com 托管在谷歌云上。从安全角度来看,并不存在公司边界。例如,我们必须专注于访问和凭证管理以及内部的应用程序安全审计。和黑客协助有助于扩大团队规模,因此我们也能够专注于其它领域。”
2月份,该公司的私密漏洞奖励计划披露了一个有意思的漏洞,而 GitLab 起初并不决定修复它。该漏洞本可导致用户的自定义域名遭劫持而用户被重定向至恶意内容。
原创文章,作者:kepupublish,如若转载,请注明出处:https://blog.ytso.com/123145.html