최고의 보안 연구원이 버그 현상금 프로세스를 공유합니다.

사이버 보안 인식의 달을 마무리하면서 GitHub Bug Bounty 팀은 GitHub 보안 버그 장려금 프로그램에 참여하는 또 다른 최고 성과의 보안 연구원인 André Storfjord Kristiansen을 조명하게 되어 기쁘게 생각합니다!

GitHub는 매일 수백만 건의 개발 프로젝트를 지원하는 코드의 보안과 신뢰성을 유지하는 데 전념하고 있습니다. GitHub의 버그 바운티 프로그램은 플랫폼과 더 넓은 소프트웨어 생태계를 모두 보호하겠다는 약속의 초석입니다.

GitHub Copilot, GitHub Copilot 코딩 에이전트, GitHub Spark 등과 같은 AI 기반 기능의 급속한 성장으로 인해 보안에 대한 우리의 초점은 그 어느 때보다 강력해졌습니다. 특히 지능형 코딩으로 개발자를 지원하는 새로운 방법을 개척하고 있기 때문입니다. 숙련된 보안 연구원과의 협력은 여전히 필수적이며 기존 기술과 신흥 기술 모두에서 취약점을 식별하고 해결하는 데 도움이 됩니다.

또한 우리는 공개 프로그램에 참여하는 연구원들을 면밀히 감사하여 전문성과 영향력을 지속적으로 입증하는 사람들을 식별하고 독점적인 VIP 포상금 프로그램에 초대했습니다. VIP 연구원은 다음에 직접 액세스할 수 있습니다.

공개 출시 전 베타 제품 및 기능의 조기 미리 보기
GitHub Bug Bounty 직원 및 테스트 중인 기능을 지원하는 엔지니어와의 헌신적인 참여 😄
올해의 새로운 컬렉션을 포함한 독특한 Hacktocat 장식물!

이 블로그 게시물을 통해 VIP 프로그램에 대해 자세히 알아보고 초대를 받을 수 있는 방법을 알아보세요!

올해 10월 진행 중인 사이버 보안 인식의 달 기념 행사의 일환으로 우리는 Bug Bounty 프로그램의 또 다른 뛰어난 연구원을 조명하고 GitHub에서 그들의 독특한 방법론, 기술 및 해킹 경험을 탐구할 것입니다. @dev-bio 특히 주입 관련 취약점을 식별하는 데 능숙하며 생태계에서 가장 미묘하고 영향력 있는 문제 중 일부를 발견했습니다. 또한 영향 평가에 큰 도움이 되고 더 빠르고 효과적인 조치를 취할 수 있도록 하는 철저하고 상세한 보고서를 제공하는 것으로도 알려져 있습니다.

Bug Bounty에는 어떻게 참여하게 되었나요? 무엇이 당신을 계속해서 다시 찾게 만들었나요?

여가 시간에 개인 프로젝트를 진행하던 중 우연히 이 프로그램에 참여하게 되었습니다. 소프트웨어 엔지니어링에 대한 배경 지식과 열정을 고려할 때, 특히 복잡한 엣지 케이스를 처리할 때 시스템이 어떻게 작동하는지 늘 궁금합니다. 그러한 호기심은 종종 내가 직면한 새로운 기능이나 변경 사항을 선택하여 그것이 어떻게 유지되는지 확인하도록 유도합니다. 이는 나를 매혹적인 토끼 구멍으로 데려갔고 궁극적으로 큰 영향을 미치는 몇 가지 발견으로 이어졌습니다.

저를 계속 움직이게 하는 것은 사소해 보이는 문제가 실제 세계에 어떻게 영향을 미칠 수 있는지 보여주는 스릴입니다. 사소하고 간과될 수 있는 것을 취하여 그 의미를 탐구하고 그것이 어떻게 심각한 취약점으로 확대될 수 있는지 보여주는 것은 매우 보람 있는 일입니다.

해킹을 하지 않을 때 무엇을 하면서 즐거운가요?

최근 두 아이의 아버지가 되면서 업무 외 시간의 대부분은 가족과 함께 있고 가족을 위해 최고의 모습이 되기 위해 노력하는 데 집중됩니다. 또한 제가 가장 좋아하는 사람이자 그보다 나은 반쪽인 제 파트너가 믿을 수 없을 만큼 많은 지원을 해주었다는 사실도 인정하고 싶습니다. 비록 그녀는 내가 심야 시간에 무엇을 하고 있는지 전혀 모르더라도, 방해받지 않고 사이드 프로젝트를 할 수 있도록 시간을 주셨는데, 나는 그것에 대해 깊이 감사하고 있습니다.

저는 노르웨이 출신이고 이곳에 살면서 얻을 수 있는 많은 이점 중 하나는 놀라운 자연에 쉽게 접근할 수 있다는 것입니다. 하이킹, 캠핑, 크로스컨트리 스키 등을 통해 함께 최대한 활용하려고 노력합니다. 황야에 나가는 것은 바쁜 세상에서 벗어나 연결을 끊고, 재충전하고, 관점을 얻을 수 있는 완벽한 방법입니다. 야외에서 시간을 보낸 후에는 맑은 정신과 새로운 집중력을 갖고 더욱 안정되어 돌아올 수 있다는 것을 알게 되었습니다.

취약점 동향을 어떻게 파악하고 학습합니까?

나는 다른 연구자들의 글을 읽으면서 최신 정보를 얻고 있는데, 이는 다른 사람들이 문제에 어떻게 접근하고 있는지, 어떤 종류의 취약점이 발견되고 있는지 알 수 있는 훌륭한 방법입니다. 이것이 중요하기는 하지만 앞서 나가려고 노력해야 하므로 추가 연구가 필요한 영역을 파악하고 탐구하려고 노력합니다.

전문적으로 보안 엔지니어로서 저의 주요 전문 분야는 소프트웨어 공급망 보안입니다. 이 분야는 종종 간과되지만 점점 더 중요해지고 있습니다. 저는 격차를 조사하고 새로운 위협을 완화하기 위한 솔루션을 개발하는 데 많은 시간을 보냅니다. 또한 노르웨이 최고의 인재들과 긴밀히 협력할 수 있다는 행운도 누렸습니다.

귀하의 연구에 획기적인 변화를 가져온 도구나 작업 흐름은 무엇입니까? 추천하는 덜 알려진 유틸리티가 있습니까?

여가 시간에 연구를 할 때, 나는 기성 도구에만 의존하기보다는 나만의 도구를 작성하는 것을 선호합니다. 왜냐하면 그것이 문제에 대한 더 깊은 이해를 제공하고 미래에 탐구할 가치가 있을 수 있는 새로운 영역을 식별하는 데 도움이 되기 때문입니다.

내 개인 보안 도구는 아직 게시되지 않았지만, 일반적인 잘못된 구성과 숨겨진 공격 경로를 신속하게 찾아내기 위해 확장 가능한 쿼리 제품군을 사용하여 GitHub 조직의 포괄적인 오프라인 그래프를 구축하는 도구 키트를 궁극적으로 출시할 계획입니다.

연구하기 가장 좋아하는 버그 종류는 무엇이며 그 이유는 무엇입니까?

나는 특히 주입 관련 취약점, 미묘한 논리적 결함, 언뜻 중요해 보이지 않을 수도 있는 간과된 가정에 매력을 느낍니다. 최근에 저는 가장 엄격한 콘텐츠 보안 정책도 우회할 수 있는 새로운 기술에 흥미를 느꼈습니다.

제가 가장 좋아하는 것은 겉으로는 무해해 보이는 결과가 어떻게 큰 영향을 미치는 무언가로 연결될 수 있는지 보여주는 것입니다. 이러한 취약점은 단순히 표면적인 문제가 아닌 기본 설계의 약점을 드러내는 경우가 많습니다. 복원력 있는 시스템을 구축하려는 나의 열정은 자연스럽게 이러한 접근 방식을 형성하고 작은 균열이 시스템의 전반적인 무결성을 어떻게 손상시킬 수 있는지 탐구하게 만들었습니다.

귀하의 작업에서 몇 가지 복잡하고 중요한 버그를 발견했습니다. 당신의 과정에 대해 조금 이야기해 주실 수 있나요?

여가 시간에 내가 이룩한 가장 중요한 발견은 우연의 일치였으며, 대부분의 경우 엄격한 방법론을 사용하여 목표한 접근 방식의 결과라기보다는 나 자신의 호기심 때문에 곁길로 갔던 부작용이었습니다.

나는 항상 시스템이 내부적으로 어떻게 작동하는지에 대해 끝없는 호기심과 매력을 갖고 있었고, 그 호기심이 업무 외의 프로세스를 안내하도록 했습니다. 이상한 점을 발견하면 무슨 일이 일어나고 있는지 완전히 이해할 때까지 더 깊이 파고 들어 레이어를 벗겨냅니다. 그런 다음 가치가 있는 경우 각 단계를 주의 깊게 문서화하여 잠재적인 공격 경로를 계획하고 취약성에 대한 명확하고 포괄적인 그림을 종합하여 추가 분석 및 보고를 위한 강력한 기반을 구축할 수 있습니다.

Bug Bounty에 참여하려는 연구자에게 조언이나 권장 리소스가 있습니까?

단순한 발견에 안주하지 마십시오. 더 깊이 파고들어 그 의미를 살펴보세요. 더 큰 그림을 이해하게 되면 겉으로는 괜찮아 보이는 문제도 상당한 영향을 미칠 수 있습니다.

독자들과 공유하고 싶은 소셜 미디어 플랫폼이 있나요?

현재 저는 가까운 시일 내에 흥미로운 콘텐츠를 게시할 페이지를 운영하고 있습니다. 저도 LinkedIn에 있습니다.

GitHub의 버그 바운티 연구원 스포트라이트에 참여해주신 @dev-bio님께 감사드립니다! 버그 포상금 프로그램에 제출할 때마다 GitHub, 제품 및 고객의 보안을 더욱 강화할 수 있는 기회가 되며, 보안 연구 커뮤니티와의 협력을 계속해서 환영하고 감사하게 생각합니다. 따라서 이것이 버그 사냥에 영감을 주었다면 HackerOne을 통해 자유롭게 결과를 보고해 주십시오.