Dünya çapında on milyonlarca geliştiriciye hizmet verirken güvenliğe önem veren bir şirket olarak GitHub, güvenliği geliştirme iş akışlarına getirmek için yıllarını harcadı. GitHub CSO’su Mike Hanley ile yaptığı görüşmede GitHub’ın DevSecOps’a yaklaşımını ve kuruluşların dahili olarak geliştirilen kodun güvenliğini artırmak için neler yapabileceğini açıkladı. İşte öğrendiklerimiz.
Güvenlik Anlatısını Değiştirme
Tarihsel olarak güvenlik, geliştiricilerin herhangi bir şeyi serbest bırakmak için aşması gereken bir dizi engel olan bir engelleyici olarak düşünülmüştür. Bu düşünce, ürün piyasaya sürmeye dayalı kuruluşların rekabet avantajına zarar verebilir.
Mike bu durumun, güvenlik ekiplerinin “geliştiricilerle bulundukları yerde buluşmaması” nedeniyle ortaya çıktığına inanıyor.
GitHub geliştiricilere öncelik verir. Şirket, geliştirici odaklı araçlar ve süreçler oluşturmak da dahil olmak üzere geliştiriciler için benzersiz deneyimler oluşturmaya odaklanıyor. GitHub bunu, hem şirketin geliştiricileri hem de platformun müşterileri için GitHub platformu içinde güvenlik geri bildirimi ve uyarılar sunarak yapıyor. Bu süreç, geliştiricilerin güvenli kod sağlamak için gereken girdiyi alırken yalnızca yazılım geliştirmeye odaklanmasına olanak tanır.
DevSecOps’ta Hackerların Rolü
GitHub, aşağıdakiler de dahil olmak üzere birçok güvenlik bileşenini içeren olgun bir yazılım geliştirme yaşam döngüsüne sahiptir:
- Güvenlik incelemesi alım süreçleri
- SDLC boyunca mühendislerle ortaklık yapan güvenlik şampiyonları
- Statik kod analizi
- Dahili kırmızı ekip oluşturma
- Tehdit modelleme oturumları
Şirket, bu bileşenleri geliştirme iş akışlarına kusursuz bir şekilde uyacak şekilde geliştirdi ve yıllar içinde bunları geliştirdi. Ancak GitHub, gerçekten olağanüstü bir DevSecOps programının ek bir bileşen gerektirdiğine inanıyor: etik bilgisayar korsanları.
GitHub, yedi yıldır halka açık bir hata ödül programına sahip ve bu da onu HackerOne platformundaki en köklü programlardan biri haline getiriyor. Şirket, bildirilen sorunların türüne bağlı olarak çeşitli ödüller ödüyor ve ödüllerinin ve program yapısının sektördeki en rekabetçiler arasında kalmasını sağlamak için düzenli olarak benzerleriyle karşılaştırma yapıyor.
Etik bilgisayar korsanları GitHub’un dahili düşüncesi ve hedefleri konusunda önyargılı değildir. Kariyerleri boyunca ve diğer hata ödül programlarına katkıda bulunarak yeni bir bakış açısı, deneyim, beceri ve uzmanlık seti getiriyorlar. Bu yeterlilikler, GitHub’un dahili güvenlik ekibinin ve kontrollerinin gözden kaçırabileceği öngörüleri sağlamalarına olanak tanır.
Mike, bilgisayar korsanlarını “ürün güvenliği açısından başarımızın ayrılmaz ortakları” olarak tanımlıyor ve bu da GitHub’un 2020’de neden 200’den fazla güvenlik açığı için yarım milyon dolardan fazla ödül ödediğini açıklıyor.
Programın GitHub’un geliştirme sürecine şirketin geliştirme uygulamalarıyla iyi çalışan bir format ve konumda değerli güvenlik öngörüleri sağladığını açıklıyor. GitHub programı, şirketin kendi iç süreçleri ve kontrolleri dışından bir güvenlik verisi kaynağı sağladığı için ödüllendiriyor.
“[The program] bizi dürüst tutması ve eksiklikleri gidermemize yardımcı olması açısından son derece değerliydi. Bu, GitHub’da yazılım geliştirme yaşam döngüsüne yönelik kapsamlı yaklaşımımızın bir parçası.”
— Mike Hanley CSO, GitHub
DevSecOps’u Bug Bounty ile Desteklemek
Tarafsız bir güvenlik bilgisi kaynağı sağlamanın, güvenli ve etkili kod gönderme konusunda açık faydaları vardır. Mike’ın ekibi, hata ödül programının değerini en üst düzeye çıkarmak için, GitHub’un kod tabanında ortadan kaldırabilecekleri diğer kusur kategorileri hakkında bilgi edinmek amacıyla gönderimlerden yararlanmaya da odaklanıyor. Örneğin, belirli bir güvenlik açığı birkaç kez rapor edilirse ekip, benzer güvenlik açıklarını geliştirme sürecinin başlarında tespit etmek için tasarlanmış yeni kontrolleri uygulayabilir.
İşleri bir adım daha ileri götüren GitHub, genel hata ödül programını belirli ürün lansmanlarını desteklemek için tasarlanmış özel programlarla tamamlıyor.
GitHub, 2020 yılında Codespaces aracını ticari bir ürün olarak piyasaya sürdü ve dahili DevSecOps uygulamalarını desteklemek için özel bir hata ödül programı kullandı. Şirket, en büyük hata ödülü katılımcılarından 24’ünü ürünü piyasaya sürülmeden önce test etmeye davet etti. GitHub ekibe ürünü keşfetme özgürlüğü verdi ancak belirli alanlardaki güvenlik açıklarına yönelik ek teşvikler sağlayarak testleri yönlendirdi.
Mike şöyle açıklıyor: “Program, çalışmalarımızı ve iç güvenlik süreçlerimizin etkinliğini kontrol etmek için harika bir mekanizmaydı.” “Birlikte çalıştığımız yetenekli ödül topluluğunun dışarıdan düşünmesini ve bakış açılarını sağladı.”
Hackerlarla Nasıl Ortak Olunur?
Mike, bir hata ödül programından en iyi şekilde yararlanmak için bilgisayar korsanlarıyla uzun süreli ilişkiler kurmanın önemini vurguluyor.
GitHub, sektördeki en duyarlı hata ödül programlarından birini yürütüyor, bildirilen güvenlik açıklarını 24 saat içinde tespit ediyor ve ödüllerin mümkün olan en kısa sürede ödenmesini sağlıyor. Bu özen, bilgisayar korsanlarının şirketle çalışırken olumlu bir deneyime sahip olmalarını ve bunu uzun vadede sürdürmek istemelerini sağlamaya yardımcı olur. 2020’de GitHub, hata ödül programını desteklemek için özel bir ekip kurdu.
“Programımız büyüdükçe, bilgisayar korsanı ortaklarımıza harika bir deneyim sunmanın en iyi yolu, onların ilişkiler kurabilecekleri ve gönderimlerdeki kalıplara ilişkin ortak bir anlayış geliştirebilecekleri özel, tutarlı bir ekibe sahip olduklarından emin olmaktır. Geliştirici odaklı ve müşteri odaklı olmaktan gurur duyuyoruz ve bilgisayar korsanlarıyla uğraşırken de aynı yaklaşımı sergilemek istiyoruz çünkü onlar ekibimizin çok önemli bir uzantısı.”
Hata ödülünü merak eden kuruluşlar için, bir programın zaman içinde sürdürülmesini sağlayacak bir stratejiye sahip olmak çok önemlidir. Program katılımcılarına ilişkiler kurmak ve değerli bir deneyim sunmak zaman alır. Bu olmadan, kuruluşlar başvuruların hacmiyle başa çıkmakta zorlanabilir, bilgisayar korsanlarının zamanlarının takdir edilmediğini hissetmelerine neden olabilir, bilgisayar korsanlarıyla ilişkiler aşınabilir ve program başarısı azalabilir.
Kuruluşlar, güçlü bir stratejiyle bu tuzaklardan kaçınabilir ve kuruluş, geliştiricileri ve müşterileri için güvenlik sonuçlarını iyileştiren tutarlı bir yüksek kaliteli gönderim akışı olan hata ödül programından maksimum faydayı elde edebilir.
“Bizim için geliştirici topluluğumuzun her üyesi bu çalışmanın faydalanıcısıdır. Hata ödülüne yeni başlıyorsanız ve programınızı başarıya nasıl hazırlayacağınızı merak ediyorsanız, programa tekrar katılımı teşvik etmek önceliğiniz olmalıdır.”
Güvenlik Programınızı Bilgisayar Korsanlarıyla Geliştirin
DevSecOps’unuzun gücünü bir hata ödül programı ve kapsamlı bir bilgisayar korsanları topluluğuyla genişletmek mi istiyorsunuz? Nasıl başlayacağınızı öğrenmek için HackerOne ile bugün iletişime geçin.