Kubernetes正式宣佈,Kubernetes產品安全委員會正在啟動由CNCF資助的新漏洞賞金計劃,以獎勵 在Kubernetes中發現安全漏洞的研究人員。
根據CNCF的說法,Kubernetes必須遵守最高級別的安全性。早在2019年8月,CNCF就建立了安全審核工作組並進行了Kubernetes的首次安全審核。該審核幫助社區確定了從一般弱點到關鍵漏洞的問題,使他們能夠解決這些漏洞並添加文檔來幫助用戶。
自2018年初以來,CNCF計劃啟動漏洞賞金計劃。現在,經過幾個月的私人測試,Kubernetes Bug Bounty向所有安全研究人員開放。漏洞賞金計劃由安全公司HackerOne運營。
範圍是什麼
該漏洞賞金涵蓋了存儲在GitHub上的主要Kubernetes代碼。 Kubernetes表示,他們還對集群攻擊特別感興趣,例如特權升級,身份驗證錯誤以及kubelet或API服務器中的遠程代碼執行。
社區管理工具(例如Kubernetes郵件列表或Slack頻道)不在範圍內。容器轉義,對Linux內核的攻擊或其他依賴項(例如etcd)也超出範圍,應向其安全團隊報告。
獎勵金額
對於核心Kubernetes程序中發現的安全漏洞,獎勵範圍從針對低優先級問題的200美元到針對關鍵問題的10,000美元不等。有關賞金計劃工作原理的更多詳細信息,請訪問HackerOne的Kubernetes賞金頁面。
閱讀更多 Linux速推文章 的文章