Kubernetes官方宣布，Kubernetes產(chǎn)品安全委員會(huì)正在啟動(dòng)一個(gè)由CNCF資助的新的漏洞賞金計(jì)劃，以獎(jiǎng)勵(lì)發(fā)現(xiàn)存在于Kubernetes中的安全漏洞的研究人員。

CNCF方面表示，作為CNCF畢業(yè)的項(xiàng)目，Kubernetes必須遵守最高級(jí)別的安全最佳實(shí)踐。早在2019年8月，CNCF就成立了安全審核工作組并進(jìn)行了Kubernetes的首次安全審核，該審核幫助社區(qū)識(shí)別了從一般弱點(diǎn)到關(guān)鍵漏洞的問(wèn)題，使他們能夠解決這些漏洞并添加文檔來(lái)幫助用戶。

自2018年初開(kāi)始，其就在計(jì)劃啟動(dòng)一個(gè)正式的漏洞賞金計(jì)劃。現(xiàn)在，經(jīng)過(guò)幾個(gè)月的私人測(cè)試之后，Kubernetes Bug Bounty則開(kāi)始對(duì)所有安全研究人員開(kāi)放。

該漏洞賞金計(jì)劃由安全公司HackerOne運(yùn)營(yíng)。而為了成功運(yùn)行該程序，HackerOne團(tuán)隊(duì)則都通過(guò)了Kubernetes管理員認(rèn)證（CKA）考試。

范圍是什么

該漏洞的賞金范圍涵蓋了保存在GitHub上的主要Kubernetes代碼，以及持續(xù)的集成，發(fā)行和文檔工件。Kubernetes方面表示，他們還對(duì)集群攻擊特別感興趣，例如特權(quán)升級(jí)，身份驗(yàn)證錯(cuò)誤以及kubelet或API服務(wù)器中的遠(yuǎn)程代碼執(zhí)行。同時(shí)，有關(guān)工作負(fù)載的任何信息泄漏或意外的權(quán)限更改也很重要。從集群管理員的角度出發(fā)，其還鼓勵(lì)研究人員看一下Kubernetes供應(yīng)鏈，包括構(gòu)建和發(fā)布過(guò)程。

而社區(qū)管理工具（例如Kubernetes郵件列表或Slack頻道）則不在范圍內(nèi)。容器轉(zhuǎn)義，對(duì)Linux內(nèi)核的攻擊或其他依賴項(xiàng)（例如etcd）也不在范圍內(nèi)，應(yīng)向其安全團(tuán)隊(duì)報(bào)告。

賞金額度

在核心Kubernetes程序中發(fā)現(xiàn)的安全漏洞獎(jiǎng)勵(lì)，將從低優(yōu)先級(jí)問(wèn)題的200美元到未發(fā)現(xiàn)的關(guān)鍵問(wèn)題的10,000美元不等。更多有關(guān)賞金計(jì)劃如何運(yùn)行的詳細(xì)信息，可參閱HackerOne的Kubernetes賞金頁(yè)面。