CNCF啟動Kubernetes漏洞獎勵計(jì)劃

云本地計(jì)算基金會今天宣布為開源Kubernetes容器編排工具創(chuàng)建一個(gè)新的bug賞金程序。

該程序的目標(biāo)是確保當(dāng)今企業(yè)中最廣泛使用的開源技術(shù)之一。軟件容器被用來承載可以在任何類型的計(jì)算基礎(chǔ)設(shè)施上運(yùn)行的現(xiàn)代應(yīng)用程序，Kubernetes已經(jīng)成為管理它們的最受歡迎的工具。

該計(jì)劃旨在鼓勵安全研究人員報(bào)告他們在Kubernetes代碼中發(fā)現(xiàn)的任何漏洞，為他們提供這樣做的經(jīng)濟(jì)激勵。

CNCF說，HackerOne已經(jīng)被選中運(yùn)行bug賞金程序。任何被發(fā)現(xiàn)的bug都將首先由HackerOne的專家進(jìn)行評估。那些被認(rèn)為“有效”的人隨后將被報(bào)告給Kubernetes產(chǎn)品安全委員會，該委員會包括來自谷歌Kubernetes工程師安全小組的工程師，并負(fù)責(zé)發(fā)布安全補(bǔ)丁。

這個(gè)計(jì)劃范圍很廣.庫伯涅茨比大多數(shù)其他開源技術(shù)都要大得多，各家公司提供了100多種認(rèn)證的軟件發(fā)行版。因此，bug賞金主要集中在在GitHub上發(fā)布的公共代碼庫中發(fā)現(xiàn)的漏洞上，所有這些發(fā)行版都是基于這些漏洞的。

“基本上，大多數(shù)你認(rèn)為是‘核心’的內(nèi)容都在范圍之內(nèi)，”庫伯涅茨產(chǎn)品安全委員會（Kubernetes Product Security Committee）的谷歌工程師瑪雅？

他們說：“我們對集群攻擊特別感興趣，比如特權(quán)升級、身份驗(yàn)證錯誤以及kubelet或API服務(wù)器中的遠(yuǎn)程代碼執(zhí)行。“任何關(guān)于工作負(fù)載的信息泄露，或者意外的權(quán)限更改也是令人感興趣的。從集群管理員的世界觀出發(fā)，您還被鼓勵查看Kubernetes供應(yīng)鏈，包括構(gòu)建和發(fā)布過程，這將允許任何未經(jīng)授權(quán)的訪問提交，或發(fā)布未經(jīng)授權(quán)的工件的能力。

Constellation Research Inc.分析師霍爾格·穆勒在接受硅鋼公司采訪時(shí)解釋說，隨著對此案的關(guān)注，將會發(fā)現(xiàn)更多的臭蟲。

穆勒說：“如果一個(gè)漏洞賞金計(jì)劃發(fā)現(xiàn)了庫貝涅茨的嚴(yán)重漏洞，那么1萬美元的獎勵實(shí)際上只是一小筆錢?！叭绻芗罡嗟娜巳z查代碼，那么對社區(qū)來說，對庫伯涅茨來說，最重要的是對使用庫伯涅茨（Kubernetes）為下一代應(yīng)用提供動力的企業(yè)來說，這是一場勝利。

庫伯涅茨蟲賞金計(jì)劃現(xiàn)在正在接受提交，獎勵從100美元一直到10,000美元最嚴(yán)重的漏洞。