Mejorando aspectos de seguridad en apps del Marketplace de Atlassian

Mejor conocido por su nombre en inglés, el Bug Bounty, es un programa de recompensas por errores que ha establecido el Marketplace de Atlassian para los socios que venden apps en su plataforma. Y en esta publicación de blog te explicaremos cómo ha sido nuestro proceso mejorando aspectos de seguridad en apps del Markeplace de Atlassian, te contaremos cómo nos ha ayudado el programa, cómo ha sido el proceso, nuestra experiencia y aprendizajes mejorando distintos aspectos de seguridad.

Reforzar la seguridad de una app, representa un compromiso entre la relación del fabricante y el cliente final, y desde DEISER no somos ajenos a esta realidad, ya que esto significa un punto a favor de la experiencia del cliente, una de nuestras prioridades y valores como empresa al momento de ofrecer productos y servicios. Conoce en concreto de qué programa te hablamos y cómo nos apoyamos en él para enriquecer esta experiencia final:

¿Qué es el programa de recompensas por errores del Marketplace de Atlassian o el Bug Bounty?

Es un programa de "caza de bugs" establecido por el Marketplace de Atlassian que ayuda a sus socios a identificar vulnerabilidades de seguridad dentro de sus apps. Para esta caza, Atlassian ha contado con la inestimable colaboración de Bug Crowd, quienes se han encargado de invitar “cazadores” (hunters o testers) de bugs a realizar pruebas y detectar vulnerabilidades de seguridad a las apps en las que se han inscrito en el programa.
Es importante resaltar que los “cazadores” obtienen una recompensa en metálico cada vez que detectan una vulnerabilidad la cual depende del nivel de severidad de aquella detectada. Es decir, entre mayor sea la severidad, mayor será la recompensa: Los rangos de las recompensas establecidas por Atlassian oscilan entre $200 - $10.000, y las recompensas establecidas por DEISER oscilan entre $100 - $1.500. Al final de esta publicación te contamos un poco sobre los resultados e inversión, y aquí puedes ver nuestro perfil en Bug Crowd.

Este programa que el titán australiano del software ha establecido para los socios del Marketplace, está atado a una insignia que puedes ver entre las apps que están participando en este programa, tal como es el caso de Projectrak:

Projectrak Cloud es una app participante en el programa Cloud Fortified del Marketplace de Atlassian

Cloud Fortified: La misión de esta iniciativa es la de ofrecer mayor seguridad a los clientes de apps dentro de esta plataforma de Atlassian. Que una app tenga esta insignia, garantiza que estas proveen los mecanismos de seguridad necesarios y un servicio de soporte al cliente robusto. Tanto Atlassian, como los socios del Marketplace, como los clientes finales se benefician con este programa. Puedes conocer más sobre esta y otras iniciativas en el centro de Confianza de las aplicaciones de Marketplace.

Con la visión de ofrecer el mayor valor posible a nuestros clientes, tanto desde nuestras apps, como desde nuestros servicios, desde DEISER nos dimos de alta en este programa. Te contamos nuestra experiencia durante este proceso:

El proceso de adherencia al programa de recompensas por errores del Marketplace

DEISER ha sido parte de este programa, también conocido como el Bug Bounty, desde el 8 de Septiembre de 2020, lo que ha supuesto un gran reto para todo el equipo, por eso te contaremos cada una de las etapas que se afrontan al entrar a este programa, y cómo este se ha configurado para ofrecer mayor seguridad a los clientes y usuarios de las apps Projectrak for Jira Cloud y Exporter for Jira Cloud.

1. Darte de alta en el programa y definir los procesos

Al poco tiempo de darte de alta, recibirás un correo con una extensa documentación con una serie de requisitos que tendrás que cumplir y confirmar. Acto seguido, se concierta una reunión con Bug Crowd para obtener la información necesaria para iniciar el programa. Por ejemplo, definir cuándo es el mejor momento para iniciar el programa, quién es el punto principal de contacto al momento de recibir incidencias sobre la detección de alguna vulnerabilidad de seguridad, establecer cuál es el alcance (scope) del programa, establecimiento del proceso de resolución de incidencias, entre otros.

2. ¿Quiénes detectan las vulnerabilidades en las apps?

Durante este proceso, Bug Crowd invita a una serie de “cazadores” a participar, y aquellos que estén interesados se apuntarán al programa que la empresa participante haya establecido, esto vendrá acompañado de una serie de pruebas concisas para identificar cualquier tipo de vulnerabilidad en las apps de cloud. Estos test abarcan vulnerabilidades desde el Broken Access Control (BAC), Cross-Site Scripting (XSS), Broken Authentication y la gestión de sesiones, lo que indica que se trata de un programa con una preparación concienzuda, minuciosa y enfocada al usuario final en todo momento, tomando en cuenta que estas pruebas no les afecta.

En primera instancia, desde DEISER hemos incluido a las apps Projectrak Cloud y Exporter Cloud para apegarnos a la estrategia Cloud first de Atlassian, reforzar la seguridad, y ofrecer una mejor experiencia a nuestros clientes. En el futuro, Projectrak Data Center y Exporter Data Center también entrarán en el programa.

3. ¿Cómo monitorizar los bugs reportados?

Atlassian nos ha facilitado un Panel en Jira Cloud, en el que podemos visualizar de forma general la siguiente información:

•    El establecimiento de los SLAs de resolución de las incidencias.
•    Parámetros general del uso del Panel de Jira.
•    Las incidencias que han sido reportadas de acuerdo a:
  1. Nivel de severidad de la vulnerabilidad.
  2. Tipo de vulnerabilidad.
  3. Por app (Exporter Cloud y Projectrak Cloud).

4. ¿Cómo priorizamos los bugs?

Al momento de resolver los bugs que han de reportar los "cazadores" de Bug Crowd, se han establecido una serie de SLAs de resolución de acuerdo a la vulnerabilidad de seguridad encontrada. Han sido los siguientes:

Aprendizajes obtenidos con el programa de recompensas por errores del Marketplace

Dos días después de arrancar el Bug Bounty, se reportó la primera vulnerabilidad de seguridad en Projectrak Cloud, y en los tres días posteriores (exactamente) la vulnerabilidad fue identificada en la app, arreglada y subida al Marketplace, un proceso similar continuó con un total de siete incidencias entre ambas apps. Por eso, hemos decidido listar algunos aprendizajes basados en nuestra experiencia:

1. Hasta el momento, Projectrak Cloud ha presentado un total de cuatro incidencias y en Exporter Cloud se han reportado un total de tres incidencias, todas con un nivel de severidad moderado. Lo que nos ha supuesto una inversión total de $3.000.
   
   
2. Hemos enriquecido nuestro proceso de aprendizaje sobre el proceso de verificación en aspectos de seguridad durante la creación de nuestras apps.
   
   
3. Realizar cambios de seguridad en una app implica una inversión significativa de tiempo debido a la lista de acciones que hay que llevar a cabo.
   
   
4. Nuestros clientes están recibiendo aún más valor al trabajar con apps más robustas y seguras para trabajar en sus proyectos.

En definitiva, el beneficio general que ofrece ser parte del programa de recompensas por errores del Marketplace de Atlassian es obvio, y como Gold partners del Marketplace de Atlassian, y todos los socios fabricantes de apps en general, deberían de aprovecharse de este programa, al igual que del resto de programas que ofrece el titán australiano. Este programa reportará mucha información sobre las vulnerabilidades que pueden afectar al funcionamiento de las apps y como consecuencia la experiencia de los usuarios y clientes.