CNCF為K8s提供漏洞賞金計劃
雲計算原生運算基金會(CNCF)發布了新的Kubernetes的漏洞賞金計劃,以獎勵發現Kubernetes漏洞的研究人員,給給100美元到1萬美元不等的獎金。這項計劃由CNCF、Google和漏洞賞金計劃廠商HackerOne合作提供。
Kubernetes是CNCF旗下的項目之一,受到廣泛的使用,其安全性受到高度的重視,在之前從孵化器畢業時,CNCF就出資對Kubernetes進行了首次的安全審核,作為畢業的檢驗標準,該次審核發現並且解決了一些過去未知的安全問題,而Kubernetes也已經成立了自己的產品安全委員會,成員包括了來自Google Kubernetes Engine安全團隊的工程師,負責修補新發現的漏洞。
早從2018年開始,Kubernetes產品安全委員會就開始討論啟動正式的漏洞賞金計劃,以吸引新的安全研究人員為社群工作。新推出的賞金計劃的涵蓋的範圍,包含了GitHub存儲庫中所有Kubernetes核心組件的bug,包括遠程程序代碼執行、特權升級或是身份驗證錯誤等。
另外,由於Kubernetes是一個社群項目,因此在Kubernetes供應鏈中的bug也是這項計劃的獎勵對象,像是構建和發布的過程,可能允許惡意人士未經授權訪問提交,或影響其他構建生成文件的bug,也在獎勵範圍。不過,官方提到,社群管理工具、容器跳脫(Container Escape)、Linux核心攻擊,或是其他相依相目,則不在計劃範圍之內。
視研究人員發現的bug嚴重程度,CNCF提供100美元到1萬美元不等的獎金,這項計劃已經秘密進行了幾個月,通過邀請研究人員提交錯誤以測試分類程序,而現在這項計劃正式啟動。與其他漏洞賞金計劃不同的是,CNCF沒有規定Kubernetes測試的標準環境,研究人員能以不同的方式配置Kubernetes,CNCF希望尋找出現在各種情況的漏洞。
特別的是,這是少見為開源基礎設施設置的漏洞賞金計劃,即便目前有一些開源的賞金計劃,像是互聯網漏洞賞金計劃,是針對跨環境部署的核心組件,而絕大多數的漏洞賞金計劃,都還是只針對託管的網頁應用程序,而Kubernetes卻擁有超過100個認證發布版,這項計劃是針對支持這些發布版,所共同使用的核心程序代碼。
CNCF提到,Kubernetes漏洞賞金計劃最困難的部分,是確認漏洞賞金計劃廠商以及訓練第一線的研究人員,使其具備足夠的Kubernetes知識,以測試所有錯誤報告的有效性,HackerOne團隊也通過了Kubernetes管理員認證(CKS)測驗。
Google積极參与這項漏洞賞金計劃構建過程,從提出程序、廠商評估、定義初始範圍、測試程序以及幫助HackerOne上線等工作。CNCF則提到,他們儘可能透明地創建這個計劃,包括從最初的提案開始,到評估廠商以及相關工作草案等工作。
