我们采访了高级应用安全工程师Dominic Couture,讨论了在AppSec工作所面临的挑战,为什么最低特权原则有效,为什么我们的透明度让我们的产品更安全,而不是更不安全。新利18骗


多米尼克时装头像名称:多米尼克时装

标题:高级安全工程师,App 保护

你来GitLab多久了?我于2019年11月开始工作

GitLab处理:@dcouture

与多米尼克:LinkedIn/推特

告诉我们你在GitLab做什么:

我读了很多GitLab代码!我在发布之前寻找漏洞或简单的代码改进,作为深度防御的一部分。我还会在计划阶段检查潜在的漏洞,帮助维护我们的安全编码指南,编写新的测试和自动化来支持团队工作流程,并通过我们的bug赏金程序来筛选bug。

你的角色中最具挑战性或最有回报的方面是什么?

最具挑战性的事情是努力留意每一件事。我们一直在开发大量的新功能,我们知道我们不可能对每一个都进行审查,所以我们会优先考虑和审查那些看起来最安全的功能。然而,有时漏洞会在起初似乎不是安全敏感的问题中被忽略。当这种情况发生时,我们需要找到优化流程的方法,以确保下次遇到类似情况时能够捕捉到潜在的问题。

最有意义的事情是当我们成功地做到了以上这些!当我们在我们的代码或过程中识别一个常见的缺陷,并且我们成功地将自动化放在适当的位置,从而消除它。它使产品更安全,工作量更轻新利18骗,这样我们就可以专注于新事物。

你目前最关注的2-3个项目是什么?

我们在应用程序安全团队中所做的许多事情都是不公开直到他们完成,所以我不能链接到细节问题,但考虑到这一点…

你能给同事或朋友提供的最重要的安全建议是什么?

我想我们安保团队的每个人谁被问过这个问题我完全同意使用密码管理器。密码管理器和唯一密码(和MFA!)在你使用的每一个服务上的区别是,一个相对无害的泄漏在你参与的小众论坛和一个完全的身份盗窃由于一个凭据填料攻击你的银行账户。

至于更技术性的建议,我认为最小特权原则要时刻牢记在心。当应用于api时,其思想是将最严格的权限要求作为默认值。这确保了如果在代码中没有正确地验证权限,结果将是一个错误,它将不允许应该有访问权限的用户访问资产,而不是一个导致数据泄露的安全错误。

你是怎么进入保安室的?

黑客总是让我着迷。当我还是个孩子的时候,我就渴望了解他们所做的事情是如何成为可能的,这也是我最初对计算机感兴趣的原因。在我十几岁的时候,我得到了我的第一台电脑,我很快就学会了如何建立网站。当我和别人谈论我的编程项目时,他们警告我注意SQL注入和其他类型的安全漏洞。这激起了我的好奇心,在研究这些课题时,我发现当成存在。从那时起,“黑客娱乐”一直是我的爱好。在我职业生涯的大部分时间里,我一直是一名软件开发人员,虽然安全一直是这份工作的一部分,但直到我加入GitLab后,我才成为了一名安全专业人员,并将我的爱好转变为职业。

在未来的5年里,你对安全领域最期待的是什么?

虽然自动化永远不能解决所有的问题,但它肯定能解决其中的一些!我既好奇又兴奋的安全扫描仪移动到下一个层次,有更深刻的分析和更少的误报。人工智能和机器学习是我们在这个话题上经常听到的流行词,但我主要是期待科协工具有一个更好的理解代码流,并能够告诉我的os.Open(路径)呼叫确实涉及用户输入,而且确实有风险;而不是标记出来让我复习以防它是。

您希望更好地了解哪些主流或行业传播的安全神话?

虚拟专用网络(vpn)在最近的网络广告中受到高度赞扬,关于他们提供的安全性的说法似乎有点夸张。事实上,GitLab甚至没有企业VPN!我真的很喜欢汤姆·斯科特的视频关于这个话题。简而言之:现在的vpn提供的安全性并不比几乎无处不在的https协议在很多日常使用中提供的安全性高多少,包括在咖啡店使用你的笔记本电脑。不要误解我,vpn是非常相关的,有很多正当的理由使用一个,我只是觉得他们周围的广告不是完全真实的,人们没有技术知识可能会导致购买他们不需要的东西。

GitLab非常独特,我们努力做到令人难以置信的透明……关于一切。作为一个安全专业人士,这会给你带来什么样的挑战或机会?

透明度是我们在GitLab所做的一切的一部分公共默认情况下.这种透明度驱动的方法可能会导致一些不应该公开的事情的偶然分享。关注这些东西,在别人之前发现它们是一种挑战。幸运的是,我们有一个公开的漏洞赏金项目,我们的记者非常擅长在“坏人”之前找到这些漏洞,如果有什么东西从我们的指端溜走的话。虽然我们宁愿把这些赏金控制在最低限度,但这对GitLab来说仍然比有人滥用泄露的信息要好。

有了我们的开源代码库新利18官方网站博客文章安全研究团队公布了他们的发现,以及我们披露的通过我们的bug赏金计划得到的bug在被修复30天后,外部研究人员获得了关于GitLab的几乎无与伦比的洞察力和信息。这使他们能够发现和报告比在黑盒环境中进行测试更好的漏洞。人们首先想到的往往是与我们的透明度水平相关的安全风险,但事实上,我们的透明度使我们的软件更安全。

人们首先想到的往往是与我们的透明度水平相关的安全风险,但事实上,我们的透明度使我们的软件更安全。

你每天的动态消息来源是什么?

我尽量少使用社交媒体,但我不能否认Twitter是发布安全新闻的最佳场所。有很多很棒的博客和网站可以关注(新利18官方网站我们的GitLab安全博客新利18官方网站PortSwigger博客的研究新利18官方网站谷歌Project Zero但也有大量的独立研究人员每年只发表一到两次,而Twitter是找到所有好的内容的地方。

现在,为了回答你们的问题真的想要回答:

最喜欢的Linux发行版?

Arch Linux !安装过程并不像meme所假装的那么困难,文档很精彩,您可以很好地控制系统上运行的内容。Arch使用的系统近年来一直是一个两极化的话题,但如果你不介意,它是一个伟大的发行版。

你最喜欢的季节是什么?

冬天。幸运的是,我住在一个一年有近6个月被雪覆盖的地方,所以有很多冬天可以享受!没有什么比在我的北欧旅行滑雪板上探索当地的森林和山脉更自由和有趣的了。

你不工作的时候喜欢做什么?

我经常跑步、骑车、滑雪和徒步旅行(总是和我的两个澳大利亚牧羊犬在一起),这是我每年参加一到两次超级马拉松的永久训练。我喜欢在森林里露营,装备越少越好,基本上就是花时间在森林里。在公司内部,我喜欢寻找运行bug赏金程序的公司的安全漏洞(如果不在GitLab上,它就不能工作了,对吧?)

有最喜欢的名言吗?

种树的最佳时间是20年前。第二好的时机就是现在。

网上说这是一句中国谚语,但没有证据支持这一说法。我们或许都能指出在生活中我们本可以/应该做的不同的事情,但所有花在思考它的时间都是花在实际做它和从改变中受益的时间。现在还不晚!

封面图片,约翰内斯PlenioPexels

尝试所有GitLab功能——30天免费

GitLab不仅仅是源代码管理或CI/CD。它是一个完整的软件开发生命周期和DevOps工具在一个单一的应用程序。

尝试GitLab免费
18新利赢钱

试一试18luck mx 30天无风险。

不需要信用卡。有问题吗?与我们联系。

Gitlab x图标svg