Security Shadow: Product Security
各コースを修了すると修了証が授与されます。3 つのコースをすべて修了すると、お名前がこのページで紹介されます。
制約事項
シャドウプログラムの一部として共有できる事項とできない事項について、特に重大度の高い脆弱性やインシデントに関連する いくつかの制約 があることに留意してください。
例えば、シャドウが AppSec チームメンバーが HackerOne の Issue をトリアージするのを観察している場合、High または Critical の脆弱性が報告されると、シャドウコールは終了する必要があります。
Application Security
複雑さが好きですか?安全でないエッジケースを特定し、それらを伝え、代替ソリューションの提供を支援するコツがありますか?コンフィデンシャル Issue 🔒 で時間を過ごすのを楽しんでいますか?偽陽性、重複、スパム、その他の無効なセキュリティレポートをふるいにかけて、シグナルとノイズの比率を改善することはどうですか?これらの質問のそれぞれに対する応答が熱心な「はい」であれば、AppSec チーム の仕事に興味を持つ可能性が高いでしょう。
スケジュール/対象トピック:
- AS101.1: AppSec の概要(1 時間)
- AS101.2: HackerOne「The Program」(1〜2 時間)
- AS101.3: AppSec レビューライドアロング(1〜2 時間)
- AS101.4: Stable Counterparts と Engineering チームとの協働(1 時間)
- AS101.5: Security「It’s Happening」リリース(1〜2 時間)
このスケジュールは提案です。AppSec エンジニアとシャドウは、シャドウの興味を理解し、できるだけ多くの価値を提供できるようにスケジュールを適応させるため、事前または最初のセッション中にコミュニケーションすることが推奨されます。
セッションの間に出てくる可能性のある質問を書き留めるための Google ドキュメントを用意することも推奨されます。これにより、シャドウからの質問や考えを記録し、AppSec エンジニアが次のセッションの前に質の高い回答を準備する時間を提供します。
コース期間:
5 日間、5〜8 時間
チームマネージャー: Vitor Meireles De Sousa @vdesousa
Security Research
Security Research チーム は、深い質問に答えようとするマルチディシプリンチームです:「悪意のある依存関係が悪意のあるものとして知られる前に検出するために何ができるか?」、「Kubernetes の攻撃面は何か、それは GitLab Helm Chart にどのように適用されるか?」、「SDLC の一部として軽量だが効果的な脅威モデリングをどのように行えるか?」。私たちは深さが必要な質問を尋ね、答えること、そしてセキュリティ内外の他のチームと協力して、その発見を GitLab の問題に適用することを楽しんでいます。優れた研究組織と同様に、私たちは責任ある開示、ブログ投稿、またはカンファレンスへの参加を通じて、より広いセキュリティコミュニティと発見を共有することも目指しています。
スケジュール/対象トピック:
- SR101.1: Security Research の概要 w/ Ethan(1 時間)
- SR101.2a: Rabbit Hole #1 w/ Joern(1〜2 時間)
- SR101.2b: Rabbit Hole #2 w/ Mark(1〜2 時間)
- SR101.2c: Rabbit Hole #3 w/ Dennis(1〜2 時間)
コース期間:
2 日間、6〜8 時間
チームマネージャー: Ethan Strike @estrike
登録
登録の準備ができましたか?詳細については こちら をクリックしてください。
bfd74782)