近日GitLab与漏洞通报平台合作,推动公开漏洞奖励计划(Bug Bounty Program),广邀高手来抓虫。GitLab表示,最初在2017年12月时,该公司就开始推动内部漏洞奖励计划,在过去一年间,「我们已准备要将漏洞奖励推向公开计划」,而在2019年,GitLab还会持续扩大该漏洞奖励计划的规模。
GitLab表示,开始推行漏洞奖励的这一年,已经修补将近200个系统漏洞,并且发出超过20万美元的奖励。在推动该计划后,GitLab漏洞回报的反应速度也有相当不错成长,原先平均要花上超过2天的反应时间,透过加强资安系统的自动化,现在反应时间大幅缩短至7小时,「让我们可以黑客社群保持良性互动。」
根据GitLab释出的数据,当碰上重大资安事件,该公司的平均修复时间低于30天。而GitLab表示,该公司当前目标是碰上中高资安风险时,能将修复时间拉低至60天以内。
企业内部IT复杂,在没有充足资安人力的条件下,难凭一己之力保障系统的安全性。近年政府单位、企业逐渐开始拥抱漏洞奖励计划,请由外部高手协力一起抓系统内的臭虫,除了科技公司如微软、Google、脸书、LINE,其企业如联合航空、西联汇款、克赖斯勒都已经动起来。
文章转自:胜博发有你
