<
>

错误赏金如何帮助您向左移动

提供者:HackerOne亚太区副总裁Nighty Ng
 
如今,云,敏捷,DevOps和CI / CD管道要求安全性向左转移,并成为软件供应链或SDLC的常规组成部分。这里没有重大新闻。
 
但是您是否考虑过漏洞赏金计划如何帮助您将安全性向左转移?
 
本文详细介绍了漏洞赏金生命周期(BBLC)的概念,该漏洞最初由Verizon Media的高级漏洞赏金运营负责人Chris Holt提出。 
 
主动安全的重要性
存储在可通过互联网访问的系统中的信息越来越有价值,因此拥有主动防御系统至关重要。黑客提供的安全性是一种采取这种主动姿态的行之有效的方法。当您将全球最大的道德黑客社区放在一边,在漏洞发生之前发现漏洞时,您和您的用户就会获胜。
 
自2014年以来,Verizon Media一直在其排名前20的赏金计划列表中名列第一。自五年以来,Verizon Media已支付了超过400万美元的赏金,并获得了5,000多个已解决的报告,Verizon Media的计划已远远超出其成熟范围“臭虫,臭虫。”
 
BBLC:在SDLC中考虑您的漏洞赏金计划
当组织开始赏金计划时,他们正确地专注于微调基本的“漏洞,漏洞”流程。当欢迎外部黑客加入您的安全操作仍然是新鲜事物时,有很多事情要做–例如与黑客进行有效的通信,分类,重现报告的漏洞,严重性分类,赏金数额,解决程序等等。
 
掌握了这些基本知识后,您将获得使黑客回头的响应时间,以及可以帮助您晚上入睡的安全结果。这正是将您的BBLC方法前进的正确时机。此技术可帮助您使用相同的漏洞报告来推动软件生产过程或SDLC的改进,以确保将来的代码不断变得更加安全。
 
BBLC由与SDLC完全相同的步骤组成,但顺序相反,从外部(部署)向内一直到需求。使用BBLC,您可以利用赏金计划中的经验教训定期升级SDLC中的主动安全措施。
 
大多数Bounty计划的目标是在生产应用程序中运行的实时部署代码,因此黑客可以在那里发现漏洞报告。一个典型的错误为您提供了可以在生产环境中执行的有效负载,因此在开发团队提出修复程序之后,您可以对其进行部署。当以“ bugs,bugs out”的方式进行操作时,您很可能会停下来。
 
不过,有了BBLC,我们才刚刚开始!随着时间的流逝,您可能会看到足够多的特定类型的漏洞,足以证明实施工具并将其添加为新的测试用例。 Verizon Media的一个示例是XSSHunter,它在代码上线之前就其潜在的跨站点脚本漏洞筛选了代码。现在,我们变得更加主动!
 
BBLC中向左跳的每一步都需要增加投资-既是前期投资,也就是在SDLC的那个阶段创建安全保护,还包括对开发人员时间的持续投资,以调整其工作方式。在构建步骤中,您可以通过构建具有某些类功能的软件包或库来进行投资。 Verizon Media的Paranoids团队分享了OWASP AntiSamy库的示例,该库是一个开源API,可帮助确保来自客户端的HTML和CSS代码是安全的。
 
设计使BBLC脱离了开发人员领域,并进入了架构师和系统工程团队。在这里,影响更加广泛,从而改变了所有系统的实施方式。例如,可能有机会与体系结构团队一起设计新的控件,例如要求对所有输入字段进行白名单验证。
 
最后,您可以从一类漏洞中汲取教训,并编写要求,策略或标准来解决该漏洞。当然,这是最全局的更改类型,因此您要确保它基于大量数据和您要防范的漏洞类型的经验。
 
在黑客驱动的安全之旅中,您所处的位置可能会确定可以将BBLC推到左边的位置。但是请牢记这些技巧,并寻找克服错误,清除错误并利用您的赏金知识全面保护软件供应链的方法。

分享我们的想法

0 Comment 登录 要么 寄存器 发表评论