Kubernetes 官方宣布, Kubernetes 产品安全委员会正在启动一个由 CNCF 资助的 新的漏洞赏金计划, 以奖励发现存在于 Kubernetes 中的安全漏洞的研究人员.
CNCF 方面表示, 作为 CNCF 毕业的项目, Kubernetes 必须遵守最高级别的安全最佳实践. 早在 2019 年 8 月, CNCF 就成立了安全审核工作组并进行了 Kubernetes 的首次安全审核, 该审核帮助社区识别了从一般弱点到关键漏洞的问题, 使他们能够解决这些漏洞并添加文档来帮助用户.
自 2018 年初开始, 其就在计划启动一个正式的漏洞赏金计划. 现在, 经过几个月的私人测试之后, Kubernetes Bug Bounty 则开始对所有安全研究人员开放.
该漏洞赏金计划由安全公司 HackerOne 运营. 而为了成功运行该程序, HackerOne 团队则都通过了 Kubernetes 管理员认证 (CKA) 考试.
范围是什么
该漏洞的赏金范围涵盖了保存在 GitHub 上的主要 Kubernetes 代码, 以及持续的集成, 发行和文档工件. Kubernetes 方面表示, 他们还对集群攻击特别感兴趣, 例如特权升级, 身份验证错误以及 kubelet 或 API 服务器中的远程代码执行. 同时, 有关工作负载的任何信息泄漏或意外的权限更改也很重要. 从集群管理员的角度出发, 其还鼓励研究人员看一下 Kubernetes 供应链, 包括构建和发布过程.
而社区管理工具 (例如 Kubernetes 邮件列表或 Slack 频道) 则不在范围内. 容器转义, 对 Linux 内核的攻击或其他依赖项 (例如 etcd) 也不在范围内, 应向其安全团队报告.
赏金额度
在核心 Kubernetes 程序中发现的安全漏洞奖励, 将从低优先级问题的 200 美元到未发现的关键问题的 10,000 美元不等. 更多有关赏金计划如何运行的详细信息, 可参阅 HackerOne 的 Kubernetes 赏金页面 https://hackerone.com/kubernetes .
来源: http://netsecurity.51cto.com/art/202001/609585.htm