データセキュリティ
チームのアイデンティティ
GitLab のデータセキュリティチームは、製品全体のデータセキュリティとプライバシーの問題を調査し、修復することを担当しています。私たちは、(多くの場合広範で曖昧な) 懸念を取り上げ、修復が必要なもの (もしあれば) を見つけるために調査し、その後クリーンアップを支援することで、Product Security の同僚や Engineering 全体で行われているすでに優れた作業を補完します。言い換えると、私たちは GitLab 全体でi に点を打ち、t に線を引くのです。
データセキュリティチームの担当範囲には、以下が含まれます (ただし、厳密に限定されません):
- データ分類標準または関連するインフラストラクチャ標準に準拠せずに保存されているデータ
- KMS または HSM システムの外部に保存されているシークレットと暗号化キー
- 公式の本番システム外にある RED データのコピー
rm -rf gitlab.com(または同様の操作) を 1 人で実行する権限を与える本番システムでの過剰な権限付与
チームの優先度の高い取り組みには次のものがあります:
- 私たちは新しいチームです (2024 年 8 月に開始しました)
- そのため、これらに取り組んでいます。
- 近いうちに戻ってきてください!
チームメンバー
| 担当者 | 役割 |
|---|---|
| Julie Davila | VP, Product Security |
| Jacob Jernigan | Senior Manager, Infrastructure Security |
| Justin Cameron | Staff Security Engineer, Data Security |
| Brendan O'Connor | Staff Security Engineer, Data Security |
私たちと一緒に働く
不気味で奇妙なことを知っていますか?
潜在的に不気味な領域を調査するよう私たちに依頼するには、何か奇妙なテンプレートを使用して Issue を作成してください。
私たちが行うこと
私たちはすべての Issue を入ってきた時に確認します。すべての Issue にすぐに対応できるとは限りません。私たちは能力の限り (システムをよりよく理解するために他のチームと提携することも含めて) 調査します。何が起こっているかを突き止め、問題があればそれを修正するのに最も適したチームと協力します。
プロセスが発展するにつれて、他のチームが私たちが取り組んでいるものを見やすくするために、より多くのステータスラベルなどを Issue に追加します。
機密保持
私たちの透明性の価値に従い、この Issue トラッカーは GitLab の全員に公開されています。あなたのアイデンティティでタグ付けされない方法で問題を調査するよう依頼する必要があると感じる場合は、チームの誰かに DM を送り、その人に Issue を作成してもらってください。
その他
- 私たちのトラッカーで Issue を作成してください。
- チーム全体に言及するには
@gitlab-com/gl-security/product-security/data-securityを使用して、(任意の場所の) Issue で私たちにタグを付けてください。 - Slack の
#security-datasecチャンネルでこんにちはと言ってください。面白いミームをぜひ共有してください!
私たちの働き方
詳細がわかり次第追加します。
bfd74782)