НС
Я общался с их security team. Они не очень адекваты.
Size: a a a
2018 June 05
НС
GitHub и GitLab адекваты (кажется). Атлассиан — скорее поехавшие.
НС
То есть я бы на битбакете ничего приватного не хостил.
НС
Публичного тоже, впрочем.
НС
НС
Но не на битбакет же валить!
НС
Эти ребята не осилили CSP от слова вообще.
НС
Они сраную XSS-ку в маркдауне (включая комменты) на выполнение произвольного жскода (который работал без проблем, потому что CSP они не осилили) чинили два с половиной месяца.
НС
При этом слив PoC в публичный репозиторий в первый же день.
NK
В смысле мой основной вопрос к тем, кто бежит на битбакет — почему вы бежите именно на битбакет? Это дно же.
Интеграция, да и встроенные issue хорошо организованы
НС
Они же ждва месяца чинили чтение заголовков тикетов во всех подряд репозиториях без аутентификации и авторизации вообще.
DZ
формализм)
DZ
может
НС
Они же не посчитали инжект классов вообще багой пока я не начал на них срать в твиттере.
НС
Для сравнения, гитхаб и гитлаб отнеслись к инжекту классов (самой маленькой их трёх баг) серьёзно и задеплоили фиксы примерно за неделю.
НС
формализм)
Что формализм?
DZ
ну у них в компании может формально там мурыжат тикеты
НС
То, что у битбакета нет CSP, везде дыры и их реакция не секьюрити репорты вообще неадекватна (как и их полиси для таких репортов)?