DevOps 企業の GitLab は、world+dog に対してバグ報奨金制度を開始し、昨年は 20 万ドルを支払い、「報告された約 200 件の脆弱性」を修正しました。
「公開バグ報奨金プログラムを運営することで、プログラムを通じて直接セキュリティの脆弱性を報告してくれたハッカーコミュニティに報奨金を与えることができるようになる」とセキュリティディレクターのキャシー・ワン氏はブログ投稿で述べた。
Firefoxで金持ちになるか、*(int *)NULL = 0を試すか: 自動バグバウンティハンタービルドが宣伝される
続きを読む
GitLabはHackerOneページを通じて、責任を持って報告された重大なバグに対して最大1万2000ドルを支払うことを約束した。また、提出された報告には「5営業日以内」に回答することを約束した。
ワン氏とのオンラインQ&Aによると、GitLabは2014年に初めて脆弱性公開プログラムを実施しました。当時はバグ報奨金制度はありませんでしたが、コードリポジトリサイトは2017年12月から選ばれたパートナーに報奨金の支払いを開始しました。
GitLab がバグ報奨金プログラムを公開する理由について、Wang 氏は、すべては「オープンソースへの貢献価値」によるものだと述べた。
「当社は現在、セキュリティの脆弱性の詳細を緩和策のリリースから30日後に公表しています」と彼女は述べた。これは、何かを公表するまでに数ヶ月かかる、あるいは全く公表しない企業と比べると、かなり良い状況だ。
GitLab は数週間以内に TLS1.0 と 1.1 のサポートも終了する予定で、賞金稼ぎのハッカーは脆弱性を開示したことに対する見返りとして、「HackerOne 限定 GitLab 景品」やそれなりの額の小切手を受け取ることができるようになる。
GitLab は最近、誤ってその脳を半分に分割したことと、Microsoft がライバルサイトの Github を買収した後にそのメインサイトを Google Cloud に移行したことでニュースになりました。®
