GitLab 버그 바운티 프로그램 (새 탭에서 열림)
GitLab은 보안 연구자 커뮤니티와의 협력을 강화하고 더욱 투명한 운영을 위해 HackerOne 버그 바운티 프로그램의 정책을 대대적으로 업데이트했습니다. 이번 개편은 프로덕션 인프라의 안정성을 보호하기 위한 테스트 가이드라인 강화와 최신 보안 위협을 반영한 취약점 범위(Scope) 조정을 골자로 합니다. 연구자들은 더욱 명확해진 기준을 통해 혼선 없이 고영향력 취약점 발굴에 집중할 수 있게 되었습니다. ### 안전한 연구를 위한 테스트 가이드라인 강화 * **로컬 테스트 환경 권장:** 프로덕션 인프라 보호를 위해 GitLab Development Kit(GDK)을 활용한 로컬 테스트를 강력히 권장합니다. 이를 통해 연구자는 최신 기능을 공개 전 미리 확인하고 자유롭게 실험할 수 있습니다. * **DoS 테스트 조건:** 서비스 거부(DoS) 취약점을 증명해야 할 경우, 실제 서비스가 아닌 GitLab 설치 요구 사양을 충족하는 셀프 매니지드(Self-managed) 인스턴스에서 테스트를 진행해야 합니다. * **프로덕션 계정 규칙:** GitLab.com 서비스 환경에서의 테스트가 불가피한 경우, 반드시 HackerOne 이메일 별칭(`[username]@wearehackerone.com`)으로 생성된 테스트 계정만을 사용해야 합니다. ### 보안 환경 변화에 따른 취약점 범위 조정 * **서비스 거부(DoS) 제한:** 일반적인 DoS는 범위에서 제외되나, 인증되지 않은 엔드포인트를 통해 실행 가능하며 지속적이고 완전한 서비스 중단을 초래하는 애플리케이션 계층 DoS(ReDoS, 논리 폭탄 등)는 예외적으로 인정될 수 있습니다. * **AI 프롬프트 인젝션:** 단독 프롬프트 인젝션은 제외 사항입니다. 다만, 이를 초기 벡터로 삼아 보안 경계를 넘어선 실질적인 피해를 입히는 경우에는 유효한 취약점으로 간주될 수 있습니다. * **데이터 노출 기준 명확화:** 단순한 정보 수집이나 열거(Enumeration)는 제외되지만, 기밀 데이터가 노출되는 개인정보 침해 사례는 엄격히 취약점 범위에 포함됩니다. ### 연구자 보호를 위한 전환기 정책 및 원칙 * **7일의 유예 기간 제공:** 정책 변경으로 인한 혼란을 막기 위해 2026년 1월 22일 21:00(PT) 이전에 제출된 DoS 관련 보고서는 이전 정책을 적용하여 평가합니다. * **운영 원칙 준수:** 투명성(모호함 제거), 안전성(인프라 보호), 공정성(일관된 평가 표준)이라는 세 가지 원칙을 바탕으로 연구자들에게 예측 가능한 보상 환경을 제공합니다. 새로운 정책 하에서 활동하려는 보안 연구자들은 GitLab GDK를 설치하여 로컬 테스트 환경을 우선 구축하는 것이 권장됩니다. 또한, 상세한 취약점 평가를 위해 GitLab에서 제공하는 CVSS 계산기를 활용하여 보고서의 객관성을 높일 수 있습니다.