雲端原生運算基金會(CNCF)發布了新的Kubernetes的漏洞賞金計畫,以獎勵發現Kubernetes漏洞的研究人員,給予100美元到1萬美元不等的獎金。這項計畫由CNCF、Google和漏洞賞金計畫廠商HackerOne合作提供。

Kubernetes是CNCF旗下的專案之一,受到廣泛的使用,其安全性受到高度的重視,在之前從孵化器畢業時,CNCF就出資對Kubernetes進行了首次的安全審核,作為畢業的檢驗標準,該次審核發現並且解決了一些過去未知的安全問題,而Kubernetes也已經成立了自己的產品安全委員會,成員包括了來自Google Kubernetes Engine安全團隊的工程師,負責修補新發現的漏洞。

早從2018年開始,Kubernetes產品安全委員會就開始討論啟動正式的漏洞賞金計畫,以吸引新的安全研究人員為社群工作。新推出的賞金計畫的涵蓋的範圍,包含了GitHub儲存庫中所有Kubernetes核心元件的臭蟲,包括遠端程式碼執行、特權升級或是身份驗證錯誤等。

另外,由於Kubernetes是一個社群專案,因此在Kubernetes供應鏈中的臭蟲也是這項計畫的獎勵對象,像是建置和發布的過程,可能允許惡意人士未經授權存取提交,或影響其他建置生成檔案的臭蟲,也在獎勵範圍。不過,官方提到,社群管理工具、容器跳脫(Container Escape)、Linux核心攻擊,或是其他相依相目,則不在計畫範圍之內。

視研究人員發現的臭蟲嚴重程度,CNCF提供100美元到1萬美元不等的獎金,這項計畫已經秘密進行了幾個月,透過邀請研究人員提交錯誤以測試分類程式,而現在這項計畫正式啟動。與其他漏洞賞金計畫不同的是,CNCF沒有規定Kubernetes測試的標準環境,研究人員能以不同的方式配置Kubernetes,CNCF希望尋找出現在各種情況的漏洞。

特別的是,這是少見為開源基礎設施設置的漏洞賞金計畫,即便目前有一些開源的賞金計畫,像是網際網路漏洞賞金計畫,是針對跨環境部署的核心元件,而絕大多數的漏洞賞金計畫,都還是只針對託管的網頁應用程式,而Kubernetes卻擁有超過100個認證發布版,這項計畫是針對支援這些發布版,所共同使用的核心程式碼。

CNCF提到,Kubernetes漏洞賞金計畫最困難的部分,是確認漏洞賞金計畫廠商以及訓練第一線的研究人員,使其具備足夠的Kubernetes知識,以測試所有錯誤報告的有效性,HackerOne團隊也通過了Kubernetes管理員認證(CKS)測驗。

Google積極參與這項漏洞賞金計畫建置過程,從提出程序、廠商評估、定義初始範圍、測試程序以及幫助HackerOne上線等工作。CNCF則提到,他們盡可能透明地建立這個計畫,包括從最初的提案開始,到評估廠商以及相關工作草案等工作。


Advertisement

更多 iThome相關內容