Bessere Anwendungssicherheit mit GitLab und HackerOne

Sicherheit darf im Entwicklungsprozess nicht länger eine Nebensache sein. Unternehmen benötigen robuste Lösungen, mit denen die Sicherheit in den gesamten Software-Entwicklungsprozess integriert wird. Hier kommt die Zusammenarbeit zwischen HackerOne und GitLab ins Spiel, denn sie bietet eine praktische Kombination für moderne Anwendungsentwicklungsteams.

GitLab, die umfassende, KI-basierte DevSecOps-Plattform, und HackerOne, die führende Crowd-Sicherheitsplattform, sind eine Partnerschaft eingegangen, die das Beste aus beiden Welten vereint: den optimierten DevSecOps-Workflow von GitLab und die leistungsstarke Sicherheitslückenverwaltung von HackerOne.

In diesem Tutorial erfährst du, wie du die Produktivität der Entwickler(innen) und deine Sicherheitslage verbessern kannst, indem du die GitLab-Integration von HackerOne implementierst.

Eine Integration, die Entwickler(innen) befähigt

Die GitLab-Integration von HackerOne ist bemerkenswert einfach und dennoch leistungsstark. Wenn Sicherheitsexpert(inn)en Sicherheitslücken über die Plattform von HackerOne entdecken, werden diese Erkenntnisse automatisch in GitLab-Tickets umgewandelt. Dadurch entsteht ein nahtloser Workflow, der folgendermaßen abläuft:

• Sicherheitsexpert(inn)en identifizieren Sicherheitslücken über die Plattform von HackerOne.
• Validierte Sicherheitslücken werden automatisch in GitLab-Tickets umgewandelt.
• Entwicklungsteams können diese Tickets direkt in ihren bestehenden Workflows bearbeiten.
• Der Lösungsstatus wird zwischen beiden Plattformen synchronisiert.

Du kannst die Vorteile von GitLab und HackerOne nutzen, indem du die Integration verwendest und GitLab-Tickets als Referenzen auf HackerOne nachverfolgst. Diese Integration bietet eine bidirektionale und nahtlose Datensynchronisierung zwischen deinem HackerOne-Bericht und dem GitLab-Ticket, wodurch die Abstimmung zwischen Entwicklungs- und Sicherheitsteams verbessert und die Behebung von Sicherheitslücken optimiert wird.

Folge den Anweisungen in der GitLab-Integrationsdokumentation von HackerOne, um die GitLab-Integration so zu konfigurieren, dass sie Informationen zwischen deinem HackerOne-Bericht und deinem GitLab-Ticket synchronisiert. Dies umfasst folgende Schritte:

1. Einrichtung einer OAuth-2.0-Anwendung für deine GitLab-Instanz mit den bereitgestellten HackerOne-Einstellungen
2. Verbindung von HackerOne zum neu erstellten OAuth 2.0 auf GitLab
3. Berechtigung von HackerOne, auf die GitLab-API zuzugreifen
4. Festlegung des GitLab-Projekts, das du zu HackerOne-Berichten eskalieren möchtest
5. Auswahl der HackerOne-Felder, die den entsprechenden GitLab-Feldern zugeordnet werden sollen
6. Ereigniskonfiguration für GitLab zu HackerOne und umgekehrt

Sobald die Integration eingerichtet wurde, kannst du Daten bidirektional und nahtlos zwischen GitLab und HackerOne synchronisieren. Dies vereinfacht den Kontextwechsel und ermöglicht es, Sicherheitslücken einfach in beiden Systemen nachzuverfolgen. Die Integration bietet die folgenden Funktionen:

• Erstellen eines GitLab-Tickets aus HackerOne: Du kannst neue GitLab-Tickets für Berichte erstellen, die du auf HackerOne erhältst.
• Verknüpfung von HackerOne-Berichten mit bestehenden GitLab-Aufgaben.
• Synchronisierung von Updates von HackerOne zu GitLab: Die folgenden Updates eines Berichts werden als Kommentar zu GitLab synchronisiert.
  • Berichtskommentare
  • Staatusänderungen
  • Belohnungen
  • Änderungen der zuständigen Person
  • Öffentlichmachung
  • Schließen von GitLab-Tickets
• Synchronisierung von Updates von GitLab zu HackerOne: Die folgenden Updates in GitLab werden in HackerOne als interner Kommentar zum jeweiligen Bericht angezeigt:
  • Kommentare
  • Statusänderungen
• Zuordnung von HackerOne-Schweregraden zu GitLab-Labels: Dadurch kannst du eine benutzerdefinierte Priorität festlegen, wenn du einen Bericht zu GitLab eskalierst.
• Zuordnung von Fälligkeitsdaten: Damit kannst du basierend auf dem Schweregrad eines Berichts automatisch ein benutzerdefiniertes Fälligkeitsdatum festlegen.

Diese Funktionen vereinfachen die Abstimmung zwischen Entwicklungs- und Sicherheitsteams und optimieren die Behebung von Sicherheitslücken. Weitere Informationen zur Funktionsweise der Integration findest du in der Integrationsdokumentation.

Ein Blick in die Bug-Bounty-Programme von HackerOne

HackerOne bietet Bug-Bounty-Programme oder Cybersicherheitsinitiativen an, bei denen man Belohnungen bekommt, wenn Sicherheitslücken in den Softwaresystemen, Websites oder Anwendungen von Kund(inn)en entdeckt und gemeldet werden. Bug-Bounty-Programme tragen auf folgende Weise zur Sicherheit einer Anwendung bei:

• Sie helfen, Sicherheitsschwachstellen zu identifizieren, bevor diese missbraucht werden können.
• Sie ermöglichen es, die vielfältige Expertise einer weltweiten Community aus Sicherheitsexpert(inn)en zu nutzen.
• Sie sind eine kostengünstige Möglichkeit, die Cybersicherheit zu verbessern.
• Sie ergänzen interne Sicherheitsmaßnahmen und traditionelle Penetrationstests.

GitLab nutzt das Bug-Bounty-Programm von HackerOne und ermöglicht es Sicherheitsexpert(inn)en, Sicherheitslücken in den Anwendungen oder der Infrastruktur von GitLab zu melden. Dieser Crowdsourcing-Ansatz hilft GitLab, potenzielle Sicherheitsprobleme effektiver zu erkennen und zu beheben.

Indem Unternehmen die Plattform und die globale Hacker(innen)-Community von HackerOne nutzen, können sie ihre Sicherheitslage deutlich verbessern, Sicherheitslücken schneller erkennen und potenziellen Bedrohungen immer einen Schritt voraus sein.

Sichere deine Anwendungen und verbessere die Effizienz mit GitLab

GitLab ist eine umfassende DevSecOps-Plattform mit Funktionen für den gesamten Software-Entwicklungsprozess und enthält unter anderem auch Sicherheits- und Compliance-Tools. GitLab unterstützt die folgenden Arten von Sicherheitsscannern:

• Statische Anwendungssicherheitstests (SAST)
• Dynamische Anwendungssicherheitstests (DAST)
• Container-Scanning
• Abhängigkeitssuche
• Infrastructure-as-Code-Scanning
• Abdeckungsgesteuertes Fuzzing
• Web-API-Fuzzing

Mit GitLab kannst du Sicherheitsscans hinzufügen, indem du einfach eine Vorlage auf deine CI/CD-Pipeline-Definitionsdatei anwendest. Ein SAST kann beispielsweise mit einigen wenigen Zeilen Code in der Datei .gitlab-ci.yml hinzugefügt werden:

stage:
  - test

include:
  - template: Jobs/SAST.gitlab-ci.yml

Dadurch wird der SAST in der Testphase ausgeführt und es werden automatisch die verwendeten Sprachen in deiner Anwendung erkannt. Wenn du dann einen Merge Request erstellst, erkennt der SAST Sicherheitslücken im diff zwischen dem Feature-Branch und dem Zielbranch und stellt relevante Daten für die einzelnen Sicherheitslücken bereit, damit diese behoben werden können.

Die Ergebnisse des SAST-Scanners können das Zusammenführen von Code blockieren, wenn Sicherheitsrichtlinien eingehalten werden müssen. Native GitLab-Benutzer(innen) können als Genehmiger(innen) festgelegt werden, sodass die erforderlichen Überprüfungen vor dem Zusammenführen von unsicherem Code durchgeführt werden müssen. Dadurch wird sichergestellt, dass alle Sicherheitslücken von den zuständigen Personen überwacht werden.

HackerOne hat GitLab auf verschiedene wichtige Arten in seine Betriebs- und Entwicklungsprozesse integriert, was zu Verbesserungen des Entwicklungsprozesses und einer verbesserten Skalierbarkeit und Zusammenarbeit geführt hat. Zu diesen Verbesserungen gehören schnellere Bereitstellungen und teamübergreifende Planung.

Hauptvorteile der GitLab-Integration von HackerOne

Werden HackerOne und GitLab zusammen genutzt, erwarten dich folgende Hauptvorteile:

• Verbesserte Transparenz bei der Sicherheit: Entwicklungsteams erhalten sofortige Einblicke in Sicherheitslücken, ohne ihre primäre Workflow-Umgebung verlassen zu müssen. Durch diese Erkenntnisse in Echtzeit können Teams Sicherheitsprobleme priorisieren und trotzdem die Entwicklung von Funktionen vorantreiben.
• Optimierter Prozess zur Fehlerbehebung: Indem HackerOne-Berichte direkt in GitLab-Tickets umgewandelt werden, wird die Fehlerbehebung Teil des Standardentwicklungszyklus. Dadurch entfällt der Kontextwechsel zwischen Plattformen und Sicherheitsfixes werden zusammen mit anderen Entwicklungsarbeiten nachverfolgt.
• Raschere Fehlerbehebung: Die Integration verkürzt die Zeit zwischen der Entdeckung und der Behebung von Sicherheitslücken erheblich. Da HackerOne-Beiträge sofort in GitLab verfügbar sind, können Entwicklungsteams ohne Verzögerung mit der Behebung der Fehler beginnen und so die allgemeine Sicherheitslage verbessern. *Verbesserte Zusammenarbeit: Sicherheitsexpert(inn)en, Sicherheitsteams und Entwickler(innen) können durch diese Integration effektiver kommunizieren. Kommentare und Aktualisierungen werden zwischen beiden Plattformen synchronisiert, wodurch eine kollaborative Umgebung entsteht, bei der die Verbesserung der Sicherheit im Vordergrund steht.
• Praktische Auswirkungen: Unternehmen, die die Integration von HackerOne und GitLab implementiert haben, berichten von folgenden Vorteilen:
  • Bis zu 70 % kürzere Zeit von der Entdeckung bis zur Behebung von Sicherheitslücken
  • Höhere Zufriedenheit der Entwickler(innen), da sie in ihrem bevorzugten Workflow bleiben können
  • Verbesserte Transparenz hinsichtlich der Sicherheit im gesamten Unternehmen
  • Effektivere Zuweisung von Sicherheitsressourcen

Sieh dir jetzt die Seite zur Einrichtung der Integration an, um sofort loszulegen.

Mehr erfahren

Weitere Informationen zu GitLab und HackerOne sowie darüber, wie du deine Sicherheitslage verbessern kannst, findest du in den folgenden Ressourcen:

• Nutzung der GitLab-Integration von HackerOne (nur in englischer Sprache verfügbar)
• Bug-Bounty-Programm von GitLab in Zusammenarbeit mit HackerOne (nur in englischer Sprache verfügbar)
• Sicherheits- und Compliance-Lösungen von GitLab
• HackerOne erreicht 5 x schnellere Implementierungen dank der integrierten Sicherheit von GitLab
• Dokumentation zur Anwendungssicherheit von GitLab