GitLab ofrece “recompensas exclusivas” en su programa de reporte de vulnerabilidades

El sitio web anuncia que su programa de recompensas está abierto a la participación del público en general

El equipo de desarrolladores GitLab reporta que su programa de recompensas por reporte de vulnerabilidades se ha mantenido activo a lo largo de todo el 2018, pagando alrededor de 200 mil dólares y ayudando a solucionar unas 200 vulnerabilidades. Acorde a expertos en forense digital, este programa está disponible para cualquier profesional de la industria de la ciberseguridad que desee competir por una recompensa de GitLab.

“Administrando un programa de recompensas abierto al público en general podremos continuar el trabajo conjunto con la comunidad de hacking ético y seguir descubriendo vulnerabilidades de seguridad gracias a este programa”, mencionó Kathy Wong, directora de seguridad de GitLab.

La organización anunció recompensas de hasta 12 mil dólares por reportes de vulnerabilidades críticas a través de su página de HackerOne. Gitlab también se ha comprometido a responder a los informes recibidos “en un periodo de 5 días hábiles o menos”, informó su equipo de forense digital.

Fue el año 2014 cuando GitLab lanzó su programa de reporte de vulnerabilidades por primera vez. Aunque en aquel entonces no se ofrecían recompensas por los informes recibidos, la compañía terminaría por realizar pagos por los informes un tiempo después, al lanzar su programa en 2017.

Respecto a la decisión de divulgar públicamente los reportes recibidos por GitLab, Kathy Wong mencionó que se tomó esta decisión “en contribución al desarrollo del código abierto”. “Actualmente hacemos públicos los detalles de las vulnerabilidades de seguridad 30 días después de la publicación de las mitigaciones, en tanto que algunas empresas tardan incluso meses en revelar algo”, mencionó la ejecutiva.

Asimismo, el equipo de forense digital del GitLab anunció que estarán eliminando el soporte para los protocolos TLS 1.0 y 1.1 antes de que termine el año, además recuerdan a los hackers dedicados a la búsqueda de vulnerabilidades que podrán recibir “un botín exclusivo de HackerOne y compensaciones razonables a cambio de reportes de vulnerabilidades”.

Recientemente GitLab fue noticia debido a su decisión de trasladar su sitio principal a Google Cloud después de que GitHub, su principal rival, fuera adquirido por Microsoft.