CNCF啟動(dòng)Kubernetes漏洞獎(jiǎng)勵(lì)計(jì)劃

云本地計(jì)算基金會(huì)今天宣布為開源Kubernetes容器編排工具創(chuàng)建一個(gè)新的bug賞金程序。

該程序的目標(biāo)是確保當(dāng)今企業(yè)中最廣泛使用的開源技術(shù)之一。軟件容器被用來(lái)承載可以在任何類型的計(jì)算基礎(chǔ)設(shè)施上運(yùn)行的現(xiàn)代應(yīng)用程序，Kubernetes已經(jīng)成為管理它們的最受歡迎的工具。

該計(jì)劃旨在鼓勵(lì)安全研究人員報(bào)告他們?cè)贙ubernetes代碼中發(fā)現(xiàn)的任何漏洞，為他們提供這樣做的經(jīng)濟(jì)激勵(lì)。

CNCF說(shuō)，HackerOne已經(jīng)被選中運(yùn)行bug賞金程序。任何被發(fā)現(xiàn)的bug都將首先由HackerOne的專家進(jìn)行評(píng)估。那些被認(rèn)為“有效”的人隨后將被報(bào)告給Kubernetes產(chǎn)品安全委員會(huì)，該委員會(huì)包括來(lái)自谷歌Kubernetes工程師安全小組的工程師，并負(fù)責(zé)發(fā)布安全補(bǔ)丁。

這個(gè)計(jì)劃范圍很廣.庫(kù)伯涅茨比大多數(shù)其他開源技術(shù)都要大得多，各家公司提供了100多種認(rèn)證的軟件發(fā)行版。因此，bug賞金主要集中在在GitHub上發(fā)布的公共代碼庫(kù)中發(fā)現(xiàn)的漏洞上，所有這些發(fā)行版都是基于這些漏洞的。

“基本上，大多數(shù)你認(rèn)為是‘核心’的內(nèi)容都在范圍之內(nèi)，”庫(kù)伯涅茨產(chǎn)品安全委員會(huì)（Kubernetes Product Security Committee）的谷歌工程師瑪雅？

他們說(shuō)：“我們對(duì)集群攻擊特別感興趣，比如特權(quán)升級(jí)、身份驗(yàn)證錯(cuò)誤以及kubelet或API服務(wù)器中的遠(yuǎn)程代碼執(zhí)行。“任何關(guān)于工作負(fù)載的信息泄露，或者意外的權(quán)限更改也是令人感興趣的。從集群管理員的世界觀出發(fā)，您還被鼓勵(lì)查看Kubernetes供應(yīng)鏈，包括構(gòu)建和發(fā)布過(guò)程，這將允許任何未經(jīng)授權(quán)的訪問(wèn)提交，或發(fā)布未經(jīng)授權(quán)的工件的能力。

Constellation Research Inc.分析師霍爾格·穆勒在接受硅鋼公司采訪時(shí)解釋說(shuō)，隨著對(duì)此案的關(guān)注，將會(huì)發(fā)現(xiàn)更多的臭蟲。

穆勒說(shuō)：“如果一個(gè)漏洞賞金計(jì)劃發(fā)現(xiàn)了庫(kù)貝涅茨的嚴(yán)重漏洞，那么1萬(wàn)美元的獎(jiǎng)勵(lì)實(shí)際上只是一小筆錢?！叭绻芗?lì)更多的人去檢查代碼，那么對(duì)社區(qū)來(lái)說(shuō)，對(duì)庫(kù)伯涅茨來(lái)說(shuō)，最重要的是對(duì)使用庫(kù)伯涅茨（Kubernetes）為下一代應(yīng)用提供動(dòng)力的企業(yè)來(lái)說(shuō)，這是一場(chǎng)勝利。

庫(kù)伯涅茨蟲賞金計(jì)劃現(xiàn)在正在接受提交，獎(jiǎng)勵(lì)從100美元一直到10,000美元最嚴(yán)重的漏洞。