Blog Sicherheit Bessere Anwendungssicherheit mit GitLab und HackerOne
Aktualisiert am: May 12, 2025
6 Minuten Lesezeit

Bessere Anwendungssicherheit mit GitLab und HackerOne

Erfahre mehr über die Zusammenarbeit zwischen GitLab und HackerOne und lerne, wie du eine Integration implementierst, die die Sicherheit der Anwendungen in deinem Unternehmen verbessert.

GitLab and HackerOne logo lockup
fjdiaz-headshot Fernando Diaz
securitytutorialintegrationspartnersDevSecOps platformDevSecOpsbug bounty

Sicherheit darf im Entwicklungsprozess nicht länger eine Nebensache sein. Unternehmen benötigen robuste Lösungen, mit denen die Sicherheit in den gesamten Software-Entwicklungsprozess integriert wird. Hier kommt die Zusammenarbeit zwischen HackerOne und GitLab ins Spiel, denn sie bietet eine praktische Kombination für moderne Anwendungsentwicklungsteams.

GitLab, die umfassende, KI-basierte DevSecOps-Plattform, und HackerOne, die führende Crowd-Sicherheitsplattform, sind eine Partnerschaft eingegangen, die das Beste aus beiden Welten vereint: den optimierten DevSecOps-Workflow von GitLab und die leistungsstarke Sicherheitslückenverwaltung von HackerOne.

In diesem Tutorial erfährst du, wie du die Produktivität der Entwickler(innen) und deine Sicherheitslage verbessern kannst, indem du die GitLab-Integration von HackerOne implementierst.

Eine Integration, die Entwickler(innen) befähigt

Die GitLab-Integration von HackerOne ist bemerkenswert einfach und dennoch leistungsstark. Wenn Sicherheitsexpert(inn)en Sicherheitslücken über die Plattform von HackerOne entdecken, werden diese Erkenntnisse automatisch in GitLab-Tickets umgewandelt. Dadurch entsteht ein nahtloser Workflow, der folgendermaßen abläuft:

  • Sicherheitsexpert(inn)en identifizieren Sicherheitslücken über die Plattform von HackerOne.
  • Validierte Sicherheitslücken werden automatisch in GitLab-Tickets umgewandelt.
  • Entwicklungsteams können diese Tickets direkt in ihren bestehenden Workflows bearbeiten.
  • Der Lösungsstatus wird zwischen beiden Plattformen synchronisiert.

Du kannst die Vorteile von GitLab und HackerOne nutzen, indem du die Integration verwendest und GitLab-Tickets als Referenzen auf HackerOne nachverfolgst. Diese Integration bietet eine bidirektionale und nahtlose Datensynchronisierung zwischen deinem HackerOne-Bericht und dem GitLab-Ticket, wodurch die Abstimmung zwischen Entwicklungs- und Sicherheitsteams verbessert und die Behebung von Sicherheitslücken optimiert wird.

Folge den Anweisungen in der GitLab-Integrationsdokumentation von HackerOne, um die GitLab-Integration so zu konfigurieren, dass sie Informationen zwischen deinem HackerOne-Bericht und deinem GitLab-Ticket synchronisiert. Dies umfasst folgende Schritte:

  1. Einrichtung einer OAuth-2.0-Anwendung für deine GitLab-Instanz mit den bereitgestellten HackerOne-Einstellungen
  2. Verbindung von HackerOne zum neu erstellten OAuth 2.0 auf GitLab
  3. Berechtigung von HackerOne, auf die GitLab-API zuzugreifen
  4. Festlegung des GitLab-Projekts, das du zu HackerOne-Berichten eskalieren möchtest
  5. Auswahl der HackerOne-Felder, die den entsprechenden GitLab-Feldern zugeordnet werden sollen
  6. Ereigniskonfiguration für GitLab zu HackerOne und umgekehrt

Sobald die Integration eingerichtet wurde, kannst du Daten bidirektional und nahtlos zwischen GitLab und HackerOne synchronisieren. Dies vereinfacht den Kontextwechsel und ermöglicht es, Sicherheitslücken einfach in beiden Systemen nachzuverfolgen. Die Integration bietet die folgenden Funktionen:

  • Erstellen eines GitLab-Tickets aus HackerOne: Du kannst neue GitLab-Tickets für Berichte erstellen, die du auf HackerOne erhältst.
  • Verknüpfung von HackerOne-Berichten mit bestehenden GitLab-Aufgaben.
  • Synchronisierung von Updates von HackerOne zu GitLab: Die folgenden Updates eines Berichts werden als Kommentar zu GitLab synchronisiert.
    • Berichtskommentare
    • Staatusänderungen
    • Belohnungen
    • Änderungen der zuständigen Person
    • Öffentlichmachung
    • Schließen von GitLab-Tickets
  • Synchronisierung von Updates von GitLab zu HackerOne: Die folgenden Updates in GitLab werden in HackerOne als interner Kommentar zum jeweiligen Bericht angezeigt:
    • Kommentare
    • Statusänderungen
  • Zuordnung von HackerOne-Schweregraden zu GitLab-Labels: Dadurch kannst du eine benutzerdefinierte Priorität festlegen, wenn du einen Bericht zu GitLab eskalierst.
  • Zuordnung von Fälligkeitsdaten: Damit kannst du basierend auf dem Schweregrad eines Berichts automatisch ein benutzerdefiniertes Fälligkeitsdatum festlegen.

GitLab und HackerOne fügen Kommentare hinzu oder ändern den Status des Berichts in GitLab

Diese Funktionen vereinfachen die Abstimmung zwischen Entwicklungs- und Sicherheitsteams und optimieren die Behebung von Sicherheitslücken. Weitere Informationen zur Funktionsweise der Integration findest du in der Integrationsdokumentation.

Ein Blick in die Bug-Bounty-Programme von HackerOne

HackerOne bietet Bug-Bounty-Programme oder Cybersicherheitsinitiativen an, bei denen man Belohnungen bekommt, wenn Sicherheitslücken in den Softwaresystemen, Websites oder Anwendungen von Kund(inn)en entdeckt und gemeldet werden. Bug-Bounty-Programme tragen auf folgende Weise zur Sicherheit einer Anwendung bei:

  • Sie helfen, Sicherheitsschwachstellen zu identifizieren, bevor diese missbraucht werden können.
  • Sie ermöglichen es, die vielfältige Expertise einer weltweiten Community aus Sicherheitsexpert(inn)en zu nutzen.
  • Sie sind eine kostengünstige Möglichkeit, die Cybersicherheit zu verbessern.
  • Sie ergänzen interne Sicherheitsmaßnahmen und traditionelle Penetrationstests.

GitLab nutzt das Bug-Bounty-Programm von HackerOne und ermöglicht es Sicherheitsexpert(inn)en, Sicherheitslücken in den Anwendungen oder der Infrastruktur von GitLab zu melden. Dieser Crowdsourcing-Ansatz hilft GitLab, potenzielle Sicherheitsprobleme effektiver zu erkennen und zu beheben.

Bug-Bounty-Seite für GitLab auf HackerOne

Indem Unternehmen die Plattform und die globale Hacker(innen)-Community von HackerOne nutzen, können sie ihre Sicherheitslage deutlich verbessern, Sicherheitslücken schneller erkennen und potenziellen Bedrohungen immer einen Schritt voraus sein.

Sichere deine Anwendungen und verbessere die Effizienz mit GitLab

GitLab ist eine umfassende DevSecOps-Plattform mit Funktionen für den gesamten Software-Entwicklungsprozess und enthält unter anderem auch Sicherheits- und Compliance-Tools. GitLab unterstützt die folgenden Arten von Sicherheitsscannern:

  • Statische Anwendungssicherheitstests (SAST)
  • Dynamische Anwendungssicherheitstests (DAST)
  • Container-Scanning
  • Abhängigkeitssuche
  • Infrastructure-as-Code-Scanning
  • Abdeckungsgesteuertes Fuzzing
  • Web-API-Fuzzing

Mit GitLab kannst du Sicherheitsscans hinzufügen, indem du einfach eine Vorlage auf deine CI/CD-Pipeline-Definitionsdatei anwendest. Ein SAST kann beispielsweise mit einigen wenigen Zeilen Code in der Datei .gitlab-ci.yml hinzugefügt werden:

stage:
  - test

include:
  - template: Jobs/SAST.gitlab-ci.yml

Dadurch wird der SAST in der Testphase ausgeführt und es werden automatisch die verwendeten Sprachen in deiner Anwendung erkannt. Wenn du dann einen Merge Request erstellst, erkennt der SAST Sicherheitslücken im diff zwischen dem Feature-Branch und dem Zielbranch und stellt relevante Daten für die einzelnen Sicherheitslücken bereit, damit diese behoben werden können.

NoSQL-Injection-Sicherheitslücke im MR

Die Ergebnisse des SAST-Scanners können das Zusammenführen von Code blockieren, wenn Sicherheitsrichtlinien eingehalten werden müssen. Native GitLab-Benutzer(innen) können als Genehmiger(innen) festgelegt werden, sodass die erforderlichen Überprüfungen vor dem Zusammenführen von unsicherem Code durchgeführt werden müssen. Dadurch wird sichergestellt, dass alle Sicherheitslücken von den zuständigen Personen überwacht werden.

Genehmigungsrichtlinie für Merge Requests

HackerOne hat GitLab auf verschiedene wichtige Arten in seine Betriebs- und Entwicklungsprozesse integriert, was zu Verbesserungen des Entwicklungsprozesses und einer verbesserten Skalierbarkeit und Zusammenarbeit geführt hat. Zu diesen Verbesserungen gehören schnellere Bereitstellungen und teamübergreifende Planung.

Hauptvorteile der GitLab-Integration von HackerOne

Werden HackerOne und GitLab zusammen genutzt, erwarten dich folgende Hauptvorteile:

  • Verbesserte Transparenz bei der Sicherheit: Entwicklungsteams erhalten sofortige Einblicke in Sicherheitslücken, ohne ihre primäre Workflow-Umgebung verlassen zu müssen. Durch diese Erkenntnisse in Echtzeit können Teams Sicherheitsprobleme priorisieren und trotzdem die Entwicklung von Funktionen vorantreiben.
  • Optimierter Prozess zur Fehlerbehebung: Indem HackerOne-Berichte direkt in GitLab-Tickets umgewandelt werden, wird die Fehlerbehebung Teil des Standardentwicklungszyklus. Dadurch entfällt der Kontextwechsel zwischen Plattformen und Sicherheitsfixes werden zusammen mit anderen Entwicklungsarbeiten nachverfolgt.
  • Raschere Fehlerbehebung: Die Integration verkürzt die Zeit zwischen der Entdeckung und der Behebung von Sicherheitslücken erheblich. Da HackerOne-Beiträge sofort in GitLab verfügbar sind, können Entwicklungsteams ohne Verzögerung mit der Behebung der Fehler beginnen und so die allgemeine Sicherheitslage verbessern. *Verbesserte Zusammenarbeit: Sicherheitsexpert(inn)en, Sicherheitsteams und Entwickler(innen) können durch diese Integration effektiver kommunizieren. Kommentare und Aktualisierungen werden zwischen beiden Plattformen synchronisiert, wodurch eine kollaborative Umgebung entsteht, bei der die Verbesserung der Sicherheit im Vordergrund steht.
  • Praktische Auswirkungen: Unternehmen, die die Integration von HackerOne und GitLab implementiert haben, berichten von folgenden Vorteilen:
    • Bis zu 70 % kürzere Zeit von der Entdeckung bis zur Behebung von Sicherheitslücken
    • Höhere Zufriedenheit der Entwickler(innen), da sie in ihrem bevorzugten Workflow bleiben können
    • Verbesserte Transparenz hinsichtlich der Sicherheit im gesamten Unternehmen
    • Effektivere Zuweisung von Sicherheitsressourcen

Sieh dir jetzt die Seite zur Einrichtung der Integration an, um sofort loszulegen.

Mehr erfahren

Weitere Informationen zu GitLab und HackerOne sowie darüber, wie du deine Sicherheitslage verbessern kannst, findest du in den folgenden Ressourcen:

Es gibt mehr zu entdecken

Alle Blogbeiträge anzeigen
Sicherheit
AdobeStock Cloud

Was du über Self-Hosting & Cloud-Hosting wissen solltest

Sicherheit
checkmark-cover

So hilft GitLab dabei, die NIS2-Anforderungen einzuhalten

Sicherheit
Secure migration - cover

FinServ: So implementierst du die Funktion zur Aufgabentrennung von GitLab

Wir möchten gern von dir hören

Hat dir dieser Blogbeitrag gefallen oder hast du Fragen oder Feedback? Erstelle ein neues Diskussionsthema im GitLab Community-Forum und tausche deine Eindrücke aus. Teile dein Feedback

Bist du bereit?

Sieh dir an, was dein Team mit einer einheitlichen DevSecOps-Plattform erreichen könnte.

Kostenlose Testversion anfordern

Finde heraus, welcher Tarif für dein Team am besten geeignet ist

Erfahre mehr über die Preise

Erfahre mehr darüber, was GitLab für dein Team tun kann

Sprich mit einem Experten/einer Expertin