原文:Why 2022 was a record-breaking year in bug bounty awards[1] 译者:madneal[2] welcome to star my articles-translator[3], providing you advanced articles translation. Any suggestion, please issue or contact me[4] LICENSE: MIT[5]
每年,GitLab 的应用安全团队[6] 都会回顾 GitLab 漏洞赏金计划的亮点。
对于整个行业的安全团队来说,2022 年是忙碌的一年,我们很幸运收到了大量出色的报告,帮助我们确保 GitLab 及其客户的安全。 随着我们在 2021 年 11 月 增加我们的漏洞赏金奖励金额[7]和研究人员参与度的提高,我们在 2022 年期间奖励超过 100 万美元,打破了新纪录!
如果没有我们的漏洞赏金社区的合作,我们就不会取得今天的成就,我们认为这些奖励非常有益,而且钱花得值。
注:数据为截至 2022 年 12 月 16 日。
您可以在我们的 HackerOne 项目主页[9] 上查看每天更新的项目统计信息。如果您想参与其中,这也是开始我们计划的地方!
脱颖而出的报告和上报者[10]
我们计划的最有效报告。祝贺 @joaxcar[11] 在 2022 年提交了 22 份有效且现已解决的报告。
来自我们计划新人的最有效报告, 欢迎并祝贺 @albatraoz[12] 在 2022 年提出了七份有效且现已解决的报告。
最佳书面报告。干得好,谢谢 @yvvdwf[13] 编写了一个非常有趣的 远程代码执行错误[14]。代码和根本原因的 walkthrough、创建虚拟恶意服务器的脚本,以及在验证期间与我们的 AppSec 团队的协作非常棒!
最具创新性的报告。击掌,@vakzz[15],他用新颖的本地 git
读取漏洞[16]夺得了旗帜! 他还对上述 @yvvdwf
的 RCE 进行了简洁的跟进[17]。
最具影响力的发现。我们很高兴认识到 @taraszelyk[18],他连续提交的信息披露导致 GitLab 内部发生了许多积极的安全变化。谢谢,Taras!
我们将与这些研究人员取得联系,寄出 GitLab Swag Shop[19] 代金券以示感谢。
今年,我们还继续提供有助于研究人员和其他运行漏洞赏金计划的组织的内容:
一如既往,与我们行业最好的安全研究人员(包括许多新人)一起工作真的很高兴。 GitLab 的 AppSec 团队致力于在漏洞赏金计划和奖励的透明度方面成为行业领导者。 让我们知道我们在做什么[31] 这样我们就可以迭代我们的程序流程。
为 2023 年干杯 - 快乐挖洞!
[1]
Why 2022 was a record-breaking year in bug bounty awards: https://about.gitlab.com/blog/2022/12/19/why-2022-was-a-record-breaking-year-in-bug-bounty-awards/
[2]
madneal: https://github.com/madneal
[3]
articles-translator: https://github.com/madneal/articles-translator/
[4]
me: mailto:bing@stu.ecnu.edu.cn
[5]
MIT: https://opensource.org/licenses/MIT
[6]
应用安全团队: https://about.gitlab.com/handbook/security/security-engineering/application-security/
[7]
增加我们的漏洞赏金奖励金额: https://about.gitlab.com/blog/2021/11/01/3rd-annual-bug-bounty-contest/#-increased-bounties-across-all-bounty-ranges-
[8]
: ##2022-by-the-numbers
[9]
HackerOne 项目主页: https://hackerone.com/gitlab
[10]
: ##reports-and-reporters-that-stand-out
[11]
@joaxcar: https://hackerone.com/joaxcar
[12]
@albatraoz: https://hackerone.com/albatraoz
[13]
@yvvdwf: https://hackerone.com/yvvdwf
[14]
远程代码执行错误: https://gitlab.com/gitlab-org/gitlab/-/issues/371098?_gl=1*w2k5zo*_ga*MTE4NzUwNTYwNC4xNjcyODE5MjA1*_ga_ENFH3X7M5Y*MTY3MzgyOTM5OS4zLjEuMTY3MzgyOTkzOC4wLjAuMA..
[15]
@vakzz: https://hackerone.com/vakzz
[16]
新颖的本地 git
读取漏洞: https://gitlab.com/gitlab-org/gitlab/-/issues/372165
[17]
简洁的跟进: https://gitlab.com/gitlab-org/gitlab/-/issues/371884
[18]
@taraszelyk: https://hackerone.com/taraszelyk
[19]
GitLab Swag Shop: https://shop.gitlab.com
[20]
: ##changes-made-in-2022
[21]
来自 HackerOne 的公告: https://www.hackerone.com/press-release/hackerone-announces-gold-standard-safe-harbor-improve-protections-good-faith-security
[22]
20,000 美元的夺旗奖金: https://hackerone.com/gitlab#user-content-capture-the-flag-for-20000
[23]
已经被获得了一次: https://gitlab.com/gitlab-org/gitlab/-/issues/372165
[24]
HackerOne Questions: https://gitlab.com/gitlab-com/gl-security/appsec/hackerone-questions/
[25]
"Reproducible Vulnerabilities": /handbook/security/security-engineering-and-research/application-security/reproducible-vulnerabilities.html
[26]
HackerOne 分类流程: https://gitlab.com/gitlab-com/www-gitlab-com/-/commits/master/sites/handbook/source/handbook/security/security-engineering-and-research/application-security/runbooks/hackerone-process.html.md?_gl=1*q768y9*_ga*MTE4NzUwNTYwNC4xNjcyODE5MjA1*_ga_ENFH3X7M5Y*MTY3MzgyOTM5OS4zLjEuMTY3MzgyOTkzOC4wLjAuMA..
[27]
漏洞赏金计算器: https://gitlab.com/gitlab-com/gl-security/appsec/cvss-calculator/-/commits/master
[28]
“想开始黑客攻击吗?这是快速深入的方法”: https://about.gitlab.com//blog/2022/07/27/cracking-our-bug-bounty-top-10/
[29]
“GitLab 如何处理安全漏洞(及其重要性)”: https://about.gitlab.com//blog/2022/02/17/how-gitlab-handles-security-bugs/
[30]
NullCon 2022 视频座谈会:“CXO 座谈会:漏洞赏金?太棒了!现在怎么办?”: https://www.youtube.com/watch?v=uqvaiml1iV4
[31]
让我们知道我们在做什么: https://gitlab.com/gitlab-com/gl-security/appsec/hackerone-questions/