O GitLab pagou mais de meio milhão de dólares em recompensas a pesquisadores de segurança que contribuíram para seu programa público de recompensas por bugs no ano passado.
A plataforma DevOps lançou sua primeira iniciativa de recompensa de bugs no HackerOne em 2014, mas manteve o programa privado. Mesmo assim, teve bastante sucesso e a empresa pagou US$ 250 mil em recompensas de bugs em 2018.
Com uma equipe de segurança pronta para gerenciar o programa de recompensas por bugs e com as lições aprendidas com o esforço privado, o GitLab decidiu, há um ano, tornar o programa público e convidar todos os pesquisadores de segurança a enviar relatórios sobre vulnerabilidades descobertas que afetam seus ativos.
O programa público de recompensas de bugs, segundo o GitLab, provou ser um sucesso, com nada menos que 1.378 relatórios recebidos de 513 pesquisadores de segurança em todo o mundo. Além disso, 171 pesquisadores relataram vulnerabilidades válidas e receberam um total de US$ 565.650,00 em recompensas de bugs.
No início de 2019, o GitLab anunciou não apenas que estava publicando seu programa de caça de bugs, mas também que não tomaria medidas legais contra pesquisadores que pudessem acidentalmente ultrapassar o escopo do programa.
O GitLab também afirma que, por meio do programa público, evoluiu não apenas a maneira como se comunica com os pesquisadores de segurança participantes, mas também a maneira como as recompensas são concedidas, além de aumentar essas recompensas por vulnerabilidades críticas e de alta gravidade .
“O programa manteve nossos engenheiros em alerta, desafiou e surpreendeu nossa equipe de segurança e nos ajudou a manter o GitLab mais seguro”, observa GitLab.
Em outubro e novembro, a empresa realizou um concurso de recompensas por bugs para identificar colaboradores com mais pontos de reputação, desde submissões ao programa, o melhor relatório escrito, o relatório mais inovador e a descoberta mais impactante.
O concurso mostrou-se altamente bem-sucedido, com um total de 279 relatórios recebidos de 123 indivíduos diferentes, incluindo 89 novos reporters. O GitLab planeja divulgar detalhes sobre o melhor relatório escrito, o relatório mais inovador e a descoberta mais impactante 30 dias após o lançamento de correções para essas vulnerabilidades.
Com informações do Security Week