بابت انجام کارهای امنیتی جایزه دریافت کن
در این مقاله قرار است طریقه دریافت جوایزی که گیت لب در اختیار همه قرار میدهد یاد بگیریم.
هدف گیت لب از قرار دادن پاداش های امنیتی چیست؟
امنیت تقریبا برای همه یک مسئولیت و امر مهم محسوب میشود که هر کسی میتواند در ایجاد آن سهیم شود. هدف اصلی گیت لب پرورش دادن یک فرهنگ امنیتی قوی است به همین دلیل با پیاده سازی ایده ی پاداش دادن به اشخاصی که استانداردها و انتظارات گیت لب را نیز بالا می برند، آن را تامین و فرهنگ سازی کرده است. همچنین هدف از برنامه پاداش امنیت به این افراد، تشویق کردن اعضای تیم گیت لب و دعوت افراد عادی جامعه به همکاری برای حل کردن مشکلات مربوط به امنیت است.
همکاری و مشارکت
از آنجایی که امنیت یک نوع تلاش تیمی محسوب میشود و نیاز به همفکری دارد همه افراد میتوانند در ایجاد آن همکاری و کمک کنند.
“چه کسانی پاداش و جایزه دارند؟”
- اعضای تیم گیت لب، به جز افراد سازمان امنیت.
- افرادی از جامعه که همکاری میکنند، مانند هکرهای برنامه bug bounty .
همکاری کردن و مشارکت در این کار کاملا داوطلبانه است و هیچ الزام و اصراری به انجام دادن آن نیست که بر روی تعادل زندگی کاری و تایم کاری تاثیر منفی بگذارد، علاقه مندان میتوانند در زمان و تایم های بیکار خود بر روی آن وقت بگذارند. همچنین شرکت در این موضوع نیاز به ثبت نام ندارد چون:
- تیم امنیتی، Action یا اقداماتی را که قرار است روی آنها کار شود و بابت آن پاداش داده شود را شناسایی و اعلام میکنند.
- بعضی از اکشن ها و کارها جوری تنظیم شده اند که به طور خودکار پاداش میدهند.
ایشو و merge request ها
به طور کلی همه چیز با یک ایشو و درخواست merge یا ادغام شروع میشود که در اینجا بابت کارهایی پاداش داده می شود که به یکی از آنها یعنی ایشو یا درخواست merge اشاره شده باشد.
پاداش های خودکار
از آنجا که امور مربوط به متقاضیان به طور دستی و توسط مهندسین انجام میشود، در برخی مواقع به طور خودکار یک سری امتیاز به بعضی از اقدامات به عنوان پاداش داده میشود.
| Points | Who | Action |
|---|---|---|
| Number of votes * 100 | MR or Issue Author | Nomination |
این کار به تیم های امنیتی که میخواهند تلاش و دست آورد های بزرگ خود را به همه نشان دهند و اعتبار کسب کنند و مشهور شوند نیز پیشنهاد میشود.
مسابقه سالانه
تابلوی امتیازات یک رتبه بندی از تمام همکاری هایی که 4 بار پشت سر هم و پی در پی انجام شده اند، دارد. که در آخر سال مالی، برندگان برتر در تمام گروه ها میتوانند از یک جایزه بزرگتر استفاده کنند. توجه داشته باشید که مسابقات سالانه فقط با FY22 آغاز می شوند.
روابط
در مواردی که دو یا چند متقاضی دارای امتیاز مساوی باشند، رتبه آنها توسط گیت لب به طور خودکار تنظیم میشود.
اولین حضور، در یک رتبه بندی سه ماهه یا سالانه در اولویت قرار دارد. مثلا:
| Action | Who | Points |
|---|---|---|
| Merging a Merge Request with the ~security ~severity::1 labels | Author | 100 |
| Merging a Merge Request with the ~security ~severity::1 labels | Every reviewer | 50 |
| Merging a Merge Request with the ~security ~severity::2 labels | Author | 80 |
| Merging a Merge Request with the ~security ~severity::2 labels | Every reviewer | 40 |
| Merging a Merge Request with the ~security ~severity::3 labels | Author | 60 |
| Merging a Merge Request with the ~security ~severity::3 labels | Every reviewer | 30 |
| Merging a Merge Request with the ~security ~severity::4 labels | Author | 40 |
| Merging a Merge Request with the ~security ~severity::4 labels | Every reviewer | 20 |
دسته بندی ها
از آنجا که شغل مهندسی بیشتر در معرض مباحث امنیتی قرار دارد، گیت لب برای اینکه بقیه شغل ها هم در مرض مباحث امنیتی قرار بگیرند، برای آنها هم پاداشی برای هر سه ماه یا سال در نظر گرفته. برای مثال:
شغل توسعه دهنده:
مهندسین و مدیران از سازمان توسعه.
شغل مهندسی به جز توسعه دهنده:
مهندسین کیفیت، پشتیبانی، طراحی محصول، زیرساخت و ….
شغل غیر مهندسی:
بقیه شرکت های غیر مهندسی مثل بازاریابی، محصول، فروش، حقوقی و …
مشارکت های جامعه:
فقط رفع مشکلات امنیتی و مشارکتهای جامعه در نظر گرفته میشود. ما در حال حاضر یک برنامه Bug bounty برای مشارکت کنندگان خارجی داریم که مشکلات امنیتی و مشکلات را گزارش می دهد.
تابلوی امتیازات
رتبه بندی شرکت کنندگان با امتیاز آنها در زیر تابلوی امتیازات نشان داده میشود.
از آنجایی که جزئیات کاری که اشخاص پاداش گیرنده انجام میدهند محرمانه نمی توان به طور با بقیه در اشتراک گذاشت . به همین دلیل تمام داده های مورد استفاده برای ساخت این جدول امتیازات در این پرونده های YAML جمع آوری و نگهداری میشود.
چگونه به مردم پاداش داده میشود؟
هر کسی که در سازمان امنیت است میتواند با استفاده از برچسب ~security-awards::nomination در یک ایشو یا درخواست merge در گروه های Link و Link ، شخصی را معرفی کند.
پردازش
در این فرایند از برچسب های زیر که محدود شده اند استفاده میشود:
- ~security-awards::nomination
- ~security-awards::rejected
- ~security-awards::awarded
درروز دوشنبه ها، یک ایشو جدید در پروژه متا امنیت با موضوع زیر ساخته میشود:
Security Awards Program Council Discussion week of [date]
یک یادآور و هشدار به چنل #sec-appsec در اسلک ارسال میشود تا به همه یادآوری شود که به منتخب های مورد علاقه خود رای بدهند.
رای دادن به متقاضیان و مشخص شدن برنده
نام هر متقاضی در قسمت کامنت ها اضافه میشود و با توجه به تعداد رای های مثبتی که اعضای هر دو تیم به آنها میدهند، امتیاز تصویب میشود.
تعداد رای های مثبت، امتیازات مربوط به هر متقاضی را مشخص میکند: هر شرکت کننده به ازای هر رای 100 امتیاز پاداش می گیرد. در اخر شخصی که بیشترین امتیازات را دریافت کرده برنده محسوب میشود و جایزه دریافت میکند.
