宣布Kubernetes错误赏金计划

作者: Google的Maya Kaczorowski和Tim Allclair代表Google Kubernetes产品安全委员会

今天, Kubernetes产品安全委员会 正在启动 新的漏洞赏金计划,由 CNCF ,奖励在Kubernetes中发现安全漏洞的研究人员。

设置新的漏洞赏金计划

我们旨在尽可能透明地设置此漏洞赏金计划, 初步建议, 供应商评估范围内组件的工作草案。一旦我们加入了选定的漏洞赏金计划供应商, 黑客一号,这些文件根据HackerOne的反馈以及最近的学习成果得到了进一步完善。 Kubernetes安全审核。错误赏金计划已经秘密发布了几个月,邀请研究人员能够提交错误并帮助我们测试分类程序。自最初的提议以来已经过去了将近两年,该程序现在已准备就绪,可供所有安全研究人员做出贡献!

令人兴奋的是,这种情况很少见:开放源代码基础设施工具的漏洞赏金。存在一些开源错误赏金计划,例如 互联网漏洞赏金,其中大部分涵盖了在整个环境中一致部署的核心组件;但是大多数错误赏金仍然针对托管的Web应用。实际上,除了 Kubernetes的100个认证发行版,该漏洞赏金计划需要应用到为所有人提供支持的Kubernetes代码。到目前为止,最耗时的挑战是确保程序提供者(HackerOne)及其研究人员进行一线分类,他们具有Kubernetes的意识以及能够轻松测试已报告错误的有效性的能力。作为引导过程的一部分,HackerOne让他们的团队通过了 Kubernetes认证管理员 (CKA)考试。

范围是什么

该漏洞的赏金范围涵盖GitHub上来自Kubernetes主要组织的代码,以及持续的集成,发行和文档工件。基本上,您会认为大多数内容是“核心” Kubernetes,包含在 //github.com/kubernetes,范围内。我们对集群攻击特别感兴趣,例如特权升级,身份验证错误以及kubelet或API服务器中的远程代码执行。有关工作负载的任何信息泄漏或意外的权限更改也很重要。从集群管理员的角度出发,我们还鼓励您看一下Kubernetes供应链,包括构建和发布过程,该过程将允许任何未经授权的访问权限或发布未经授权的工件的能力。

社区管理工具(例如Kubernetes邮件列表或Slack频道)尤其超出范围。容器转义,对Linux内核的攻击或其他依赖项(例如etcd)也不在范围内,应报告给适当的一方。我们仍将感激任何Kubernetes漏洞,即使不在赏金范围之内, 私下披露 提交给Kubernetes产品安全委员会。请参阅 节目报告页面.

Kubernetes如何处理漏洞和披露

Kubernetes的 产品安全委员会 是一组专注于安全性的维护人员,负责接收和响应Kubernetes中的安全问题报告。这遵循了记录 安全漏洞响应流程,其中包括初步分类,评估影响,生成和推出修订。

通过我们的漏洞赏金计划,漏洞赏金提供商(在本例中为HackerOne)可以进行初始分类和初步评估,从而使我们能够更好地扩展有限的Kubernetes安全专家,使其仅处理有效报告。在此过程中,其他任何事情都没有改变-产品安全委员会将继续开发修补程序,构建私有补丁并协调特殊的安全发布。带有安全补丁的新版本将在以下位置宣布 kubernetes-security-announce@googlegroups.com.

如果您要报告错误,则无需使用漏洞赏金-您仍然可以按照 现有过程 并报告您在以下位置找到的内容 security@kubernetes.io.

开始吧

就像许多组织通过雇用开发人员来支持开源一样,支付漏洞赏金也直接支持了安全研究人员。这个漏洞赏金是Kubernetes建立安全研究人员社区并奖励他们辛勤工作的关键步骤。

如果您是安全研究人员,并且是Kubernetes的新手,请查看以下资源以了解更多信息并开始进行bug搜索:

如果发现问题,请向Kubernetes漏洞赏金报告安全漏洞,网址为: //hackerone.com/kubernetes.