GitLab отрывает свою bug bounty программу для всех желающих и обещает выплачивать до 12 000 долларов за критические баги.
Напомню, что программа раскрытия уязвимостей работает на GitLab с 2014 года, однако ранее никаких денежных вознаграждений за обнаруженные баги не выплачивали. Оплачиваемая bug bounty программа появилась лишь в конце 2017 года, и она была доступна лишь для небольшого количества избранных партнеров. Представители GitLab сообщают, что за последний год закрытая программа помогла обнаружить около 200 уязвимостей, за которые исследователям суммарно выплатили порядка 200 000 долларов США.
Теперь bug bounty, наконец, становится доступной для всех желающих через HackerOne. Проблемы можно искать в установках GitLab, на продакшен-серверах и в SaaS-решениях. К рассмотрению принимаются самые разные баги, начиная от SQL-инъекций, XSS- и CSRF-узявиомстей, до эскалации привилегий и обхода каталога.
За критические уязвимости, затрагивающие более 50% пользовательской базы, исследователи получат до 12 000 долларов США. За уязвимости высокой степени серьезности до 7000 долларов США.
