GitLab Bug Bounty Proqramı siyasət yeniləmələri

Məzmun:

GitLab HackerOne Bug Bounty proqramını ilk dəfə 2018-ci ildə təqdim etdi. O vaxtdan bəri, hərtərəfli süni intellektlə gücləndirilmiş DevSecOps platformamızı təhlükəsiz saxlamaq üçün tədqiqatçı icması ilə birlikdə çalışırıq. Şəffaflığa sadiqliyimizi, tədqiqatçılardan gələn rəyləri və aydın gözləntilər və sadələşdirilmiş proseslər təmin etmək üçün davam edən səylərimizi əks etdirən proqram siyasəti yeniləmələrini elan etməkdən məmnunuq.

Nə dəyişir

Bilməli olduğunuz məlumatlar bunlardır:

Təkmilləşdirilmiş test təlimatları

Həm tədqiqatçıları, həm də istehsal infrastrukturumuzu qorumaq üçün lokal test mühitlərinə daha çox diqqət yetiririk. Əksər təhlükəsizlik tədqiqatları üçün lokal GitLab Development Kit (GDK) testini tövsiyə edirik. GDK sizə ictimai buraxılışdan əvvəl ən son funksiyalara giriş və istehsal infrastrukturu narahatlıqları olmadan eksperiment etmək azadlığı verir.

Əgər xidmətdən imtina (DoS) təsirini nümayiş etdirmək lazımdırsa, özünüz idarə olunan GitLab quraşdırma tələblərinə bərabər və ya daha yüksək spesifikasiya və resurslara malik özünüz idarə olunan GitLab nümunəsində test etməyi tövsiyə edirik.

GitLab.com istehsal arxitekturasını tələb edən zəifliklər üçün HackerOne e-poçt ləqəbinizlə yaradılmış test hesablarından istifadə etməlisiniz: [email protected].

Daha yaxşı fokus üçün dəqiqləşdirilmiş əhatə dairəsi

İcma rəyləri əsasında bir neçə əhatə sahəsini aydınlaşdırdıq:

DoS əhatə dairəsindən kənardır: Davamlı tam xidmət pozulmasına nail olan VƏ autentifikasiya olunmamış son nöqtələr vasitəsilə icra edilə bilən tətbiq səviyyəsində DoS zəiflikləri üçün istisnalar nəzərdən keçirilə bilər. Bəzi nümunələrə ReDoS, məntiq bombaları və s. daxildir.

Prompt injection: Təkbaşına prompt injection əhatə dairəsindən kənardır, lakin prompt injection təhlükəsizlik sərhədindən kənarda zərərə nail olmaq üçün ilkin vektor kimi xidmət edərsə, uyğun ola bilər.

Metadata və sadalama: Ümumi məlumat toplama əhatə dairəsindən kənar qalır, məxfi məlumatları ifşa edən məxfilik pozuntuları isə əhatə dairəsinə daxildir. Proqram siyasəti səhifəsində bu iki növ məsələni fərqləndirən yeni, ətraflı nümunələr təqdim etdik.

Tədqiqatçılar üçün keçid dövrü

Siyasət dəyişikliklərinin aktiv araşdırmaları olan tədqiqatçılar üçün qeyri-müəyyənlik yarada biləcəyini anlayırıq. Bu keçid zamanı etimadı qorumaq və artıq davam edən dəyərli tədqiqatları pozmamaq üçün:

  • GitLab 2026-01-22, saat 21:00 Sakit Okean vaxtından (2026-01-23T00:05:00Z) əvvəl təqdim edilmiş DoS hesabatları üçün 7 günlük güzəşt müddəti təklif edir. O tarixdən əvvəl təqdim edilən hesabatlar əvvəlki siyasətimizə uyğun qiymətləndiriləcək.

GitLab-ın təhlükəsizliyinə etdiyiniz investisiya bizim üçün vacibdir və tədqiqatınıza başladığınız siyasəti yerinə yetirməyə sadiqik.

İcmaya sadiqliyimiz

Bu dəyişikliklər üç əsas prinsip vasitəsilə tədqiqatçı icmasına dərin sadiqliyimizi əks etdirir.

1. Qeyri-müəyyənliyi azaldan və mübahisələrin qarşısını alan daha aydın sərhədlər və obyektiv meyarlar müəyyən edərək şəffaflığa üstünlük veririk.

2. Həm istehsal sistemlərini, həm də tədqiqatçıları təsadüfi xidmət pozuntularından qoruyan təkmilləşdirilmiş test platforması təlimatları vasitəsilə təhlükəsizliyi artırırıq.

3. Ardıcıl qiymətləndirmə standartları və proqramda artıq olanlar da daxil olmaqla, bütün tədqiqatçılara ədalətli münasibəti təmin edən müddəalar vasitəsilə ədaləti təmin edirik.

Əhatə dairəsinin dəqiqləşdirilməsi həmçinin geniş əhatəni qoruyarkən resursları yüksək təsirli təhlükəsizlik məsələlərinə yönəltməklə proqramın davamlılığını dəstəkləyir.

Başlayın

GitLab-ın təhlükəsizliyinə töhfə verməyə hazırsınız?

GitLab-ı təhlükəsiz saxlamaqda təhlükəsizlik tədqiqatı icmasının davamlı tərəfdaşlığına görə minnətdarıq. Təcrübəniz və fədakarlığınız dünya üzrə milyonlarla istifadəçi üçün əsl fərq yaradır.

Bu dəyişikliklər haqqında suallarınız var? GitLab-da HackerOne sualları layihəmizdə issue yaradaraq komandamızla əlaqə saxlayın.