Dünya çapında on milyonlarca geliştiriciye hizmet ederken güvenliği ödüllendiren bir şirket olarak Github, yıllarca güvenliği geliştirme iş akışlarına getirerek geçirdi. GitHub’daki STK Mike Hanley ile yaptığı konuşmada, Github’ın Devsecops’a yaklaşımını ve kuruluşların dahili olarak geliştirilen kodun güvenliğini artırmak için neler yapabileceğini açıkladı. İşte öğrendiklerimiz.
Güvenlik Anlatımını Değiştirme
Tarihsel olarak, güvenlik bir engelleyici olarak kabul edildi – geliştiricilerin herhangi bir şeyi serbest bırakmak için üstesinden gelmesi gereken bir dizi engel. Bu düşünce, ürünleri serbest bırakmaya dayanan kuruluşların rekabet avantajına zarar verebilir.
Mike bu durumun ortaya çıktığına inanıyor çünkü güvenlik ekipleri “geliştiricilerle nerede oldukları”.
Github geliştiricileri önce koyar. Şirket, geliştiriciler ve geliştirici odaklı süreçler de dahil olmak üzere geliştiriciler için benzersiz deneyimler oluşturmaya odaklanmaktadır. Github bunu, hem şirketin geliştiricileri hem de platformunun müşterileri için GitHub platformunun içinde güvenlik geri bildirimi ve uyarıları sunarak yapar. Bu işlem, geliştiricilerin yalnızca yazılım geliştirmeye odaklanmasını sağlarken, güvenli kodu sağlamak için gereken girişi alır.
Hackerların Devsecops’ta rolü
GitHub, aşağıdakileri içeren birçok güvenlik bileşeni içeren olgun bir yazılım geliştirme yaşam döngüsüne sahiptir:
- Güvenlik İncelemesi Alım Süreçleri
- SDLC boyunca mühendislerle ortak olan güvenlik şampiyonları
- Statik Kod Analizi
- İç Kırmızı Takım
- Tehdit Modelleme Oturumları
Şirket, bu bileşenleri geliştirme iş akışlarına sorunsuz bir şekilde sığdırmak için geliştirdi ve yıllar boyunca onları geliştirdi. Bununla birlikte, Github gerçekten olağanüstü bir devsecops programının ek bir bileşen gerektirdiğine inanıyor: etik hackerlar.
Github, yedi yıldır halka açık bir hata ödül programına sahipti ve bu da onu hackerone platformundaki en uzun yerleşik programlardan biri haline getirdi. Şirket, raporların ve program yapısının sektördeki en rekabetçi olanlar arasında kalmasını sağlamak için bildirilen sorun türlerine ve düzenli olarak akranlara yönelik ölçütlere bağlı olarak bir dizi ödül ödüyor.
Etik bilgisayar korsanları GitHub’ın iç düşüncesi ve hedefleri tarafından önyargılı değildir. Kariyerleri aracılığıyla ve diğer hata ödül programlarına katkıda bulunarak yeni bir bakış açısı, deneyim, beceri ve uzmanlık seti getiriyorlar. Bu yeterlilikler, GitHub’ın iç güvenlik ekibinin ve kontrollerinin kaçırabileceği konusunda fikir vermelerine izin verir.
Mike, bilgisayar korsanlarını “bir ürün güvenliği perspektifinden başarımızın ayrılmaz ortakları” olarak tanımlıyor, bu da GitHub’ın 2020’de 200’den fazla güvenlik açığı için neden yarım milyon dolardan fazla ödül ödediğini açıklıyor.
Programın, GitHub’ın geliştirme sürecine, şirketin geliştirme uygulamalarıyla iyi çalışan bir formatta ve konumda değerli güvenlik bilgilerini beslediğini açıklıyor. GitHub, şirketin kendi iç süreçleri ve kontrollerinin dışından bir güvenlik verisi kaynağı sağladığı için programı ödüllendirir.
“[The program] bizi dürüst tutmak ve boşlukları ele almamıza yardımcı olmak için çok değerli olmuştur. GitHub’daki yazılım geliştirme yaşam döngüsüne sahip olduğumuz kapsamlı yaklaşımın bir parçası. ”
– Mike Hanley CSO, Github
Böcek ödüllü geliştiricileri desteklemek
Tarafsız bir güvenlik bilgisi kaynağı sağlamak, güvenli ve etkili kod göndermek için net faydalara sahiptir. Hata ödül programının değerini en üst düzeye çıkarmak için Mike’ın ekibi, GitHub’ın kod tabanında ortadan kaldırabilecekleri diğer kusur kategorileri hakkında bilgi edinmek için gönderimlerden yararlanmaya odaklanıyor. Örneğin, belirli bir güvenlik açığı birkaç kez rapor edilirse, ekip geliştirme sürecinin başlarında benzer güvenlik açıklarını tanımlamak için tasarlanmış yeni kontroller uygulayabilir.
İşleri bir adım daha ileri götüren Github, genel hata ödül programını belirli ürün lansmanlarını desteklemek için tasarlanmış özel programlarla tamamlar.
2020’de Github, Codpaces aracını ticari bir ürün olarak başlattı ve dahili devsecops uygulamalarını desteklemek için özel bir hata ödül programı kullandı. Şirket, en iyi 24 Bug Bounty katılımcılarını piyasaya sürmeden önce ürünü test etmeye davet etti. Github, ekibe ürünü keşfetme özgürlüğü verdi, ancak belirli alanlardaki güvenlik açıkları için ek teşvikler sağlayarak testlere rehberlik etti.
Mike, “Program, çalışmalarımızı ve iç güvenlik süreçlerimizin etkinliğini kontrol etmek için harika bir mekanizma oldu” diye açıklıyor. “Birlikte çalıştığımız yetenekli ödül topluluğundan dışarıda düşünme ve perspektifler sağladı.”
Bilgisayar korsanlarıyla nasıl ortaklık kurulur
Mike, bir hata ödül programından en iyi şekilde yararlanmak için bilgisayar korsanlarıyla uzun süreli ilişkiler kurmanın önemini vurgular.
Github, sektördeki en duyarlı hata ödül programlarından birini işletiyor ve 24 saat içinde bildirilen güvenlik açıklarını trialandırıyor ve cimri olabildiğince çabuk ödemesini sağlıyor. Bu dikkat, bilgisayar korsanlarının şirketle çalışma konusunda olumlu bir deneyime sahip olmasına yardımcı olur ve uzun vadeli yapmaya devam etmek istemektedir. 2020’de Github, böcek ödül programını desteklemek için özel bir ekip başlattı.
“Programımız büyüdükçe, hacker ortaklarımıza harika bir deneyim sunmanın en iyi yolu, ilişkiler kurabilecekleri ve başvurularda paylaşılan bir anlayış geliştirebilecekleri özel, tutarlı bir ekibe sahip olduklarından emin olmaktır. Geliştirici odaklı ve müşteri merkezli olmaktan gurur duyuyoruz ve bilgisayar korsanlarıyla uğraşırken aynı yaklaşıma sahip olmak istiyoruz çünkü ekibimizin çok önemli bir uzantısı. ”
Böcek ödülünü merak eden kuruluşlar için, zaman içinde bir programı sürdürmek için bir stratejiye sahip olmak esastır. İlişkiler kurmak ve program katılımcıları için değerli bir deneyim sağlamak zaman alır. Bu olmadan, kuruluşlar başvuru hacmiyle başa çıkmak için mücadele edebilir, bilgisayar korsanlarının zamanlarının takdir edilmediğini hissetmeye, bilgisayar korsanlarıyla ilişkileri aşındırma ve program başarısını azaltabilir.
Güçlü bir strateji ile kuruluşlar bu tuzaklardan kaçınabilir ve hata ödül programlarından maksimum fayda sağlayabilir-kuruluş, geliştiricileri ve müşterileri için güvenlik sonuçlarını iyileştiren tutarlı bir yüksek kaliteli gönderim akışı.
“Bizim için, geliştirici topluluğumuzun her üyesi bu çalışmanın faydalanıcısıdır. Bata Bounty ile yeni başlıyorsanız ve programınızı başarı için nasıl ayarlayacağınızı merak ediyorsanız, programa tekrar katılmayı teşvik etmek önceliğiniz olmalıdır. ”
Güvenlik programınızı bilgisayar korsanlarıyla geliştirin
Devsecop’larınızın gücünü bir hata ödül programı ve kapsamlı bir hacker topluluğu ile genişletmek mi istiyorsunuz? Nasıl başlayacağınızı öğrenmek için bugün hackerone ile iletişime geçin.