资讯公告
保护Kubernetes:宣布漏洞赏金计划
发布时间:2020-01-15 发布者:FebHost

容器编排程序Kubernetes变得炙手可热。每个人-我的意思是每个人-都在采用它。但是,由于每个季度都有重大更新,并且每个人都急于部署它,因此安全性确实令人担忧。因此,由Cloud Native Computing Foundation(CNCF)资助的Kubernetes产品安全委员会正在启动一个新的漏洞赏金计划,以奖励Kubernetes安全漏洞猎人。 


该漏洞赏金计划已经在私人Beta版中发布了几个月。自最初的提议以来将近两年,该程序现已为所有安全研究人员准备就绪。


Google Cloud容器安全产品经理Maya Kaczorowski说: 


Kubernetes已经拥有强大的安全团队和响应流程,最近的Kubernetes安全审核进一步巩固了该团队。我们拥有比以往更强大,更安全的开源项目。通过启动漏洞赏金计划,我们可以把钱花在我们的嘴上-最重要的是,对已经在从事这项重要工作的研究人员进行奖励。我们希望吸引更多的安全研究人员来更多地关注代码,消除安全漏洞,并在财务支持下支持我们在Kubernetes安全方面的工作。


该漏洞赏金计划将由黑客自称的安全公司HackerOne运营。为了成功运行该程序,HackerOne团队都是Kubernetes认证管理员(CKA)。这不是一件容易的事。有超过100个经过认证的Kubernetes发行版,其赏金涵盖了他们的所有Kubernetes代码。


具体来说,漏洞赏金涵盖了保存在GitHub上的  主要Kubernetes代码。它还监视持续的集成,发行和文档工件。特别是,他们正在寻找可能导致集群攻击的安全漏洞。这包括权限提升,身份验证错误以及kubelet或API服务器中的远程代码执行。 


他们还在寻找工作负载信息泄漏或意外的权限更改。还鼓励安全研究人员研究Kubernetes供应链,包括构建和发布过程。 


它没有涉及社区管理工具,例如Kubernetes邮件列表或Slack频道。容器转义,对Linux内核的攻击或其他依赖项(例如etcd)也超出了范围,应向其安全团队报告。话虽如此,他们仍然想知道任何Kubernetes漏洞,即使不在赏金范围之内。这些应该私下向Kubernetes产品安全委员会披露。 


在核心Kubernetes程序中发现的安全漏洞奖励将从低优先级问题的200美元到未发现的关键问题的10,000美元不等。