Kubernetes Bug赏金计划正式上线


1月14日,Kubernetes产品安全委员会正式启动新的Bug赏金计划,由云原生计算基金会(CNCF)提供资助,旨在奖励从Kubernetes当中发现安全漏洞的研究人员。

建立新的Bug赏金计划

我们的目标,是尽可能保证这一Bug赏金计划的透明度,包括全面公开初始提议、提交平台评估以及所涉及组件研究等工作草案。一旦我们确定HackerOne符合作为提交平台的所有要求,则将根据HackerOne提供的反馈以及近期从Kubernetes安全审计中整理出的专业知识,进一步对计划草案做出完善。此项Bug赏金计划已经内部公开数月之久,我们先后邀请多位研究人员提交Bug并帮助我们测试分类程序。自初步提议至今已经过去近两年,现在分类程序已经准备就绪,在这里我们要感谢所有安全研究人员的无私贡献!

更令人兴奋的是,此项计划的推出也打破了开源基础设施工具领域鲜有Bug赏金计划的现状。虽然此前也存在一部分面向开源项目的Bug赏金计划,例如Internet Bug Bounty,但其主要面向统一部署在特定环境下的核心组件。总体来讲,大部分Bug赏金计划仍只服务于托管型Web应用。在另一方面,截至目前已经存在超过100种经过认证的Kubernetes发行版,我们的Bug赏金计划将为全部发行版提供代码安全支持。在计划筹备过程中,我们意识到最大的挑战,主要在于如何保证计划供应方(HackerOne)及其研究人员有能力轻松测试所上报Bug及其实际影响。作为筹备过程中的重要组成部分,HackerOne方面组织团队接受了认证Kubernetes管理员(CKA)考试,确保各位工作人员都熟知与Kubernetes测试相关的专业知识。

适用范围

此次Bug赏金计划涵盖GitHub上来自各Kubernetes主要贡献组织的代码,外加各类持续集成、发行版以及文档等工件。基本上,https://github.com/kubernetes当中包含的大部分“核心”Kubernetes内容都在此计划的管控范围之内。我们还特别关注集群攻击方向,具体包括权限升级、身份验证错误以及kubelet或者API服务器中的远程代码执行等。另外,与工作负载信息泄露或者权限意外变更相关的问题也同样重要。从集群管理员的角度出发,我们还鼓励大家跟踪Kubernetes供应链,包括构建与发布流程——此流程可能允许未经授权的访问活动,或者未经授权发布工件的行为。

需要强调的是,社区管理工具(例如Kubernetes邮件列表或者Slack频道)相关漏洞不适用于此Bug赏金计划。容器转义(container escapes)、指向Linux内核的攻击以及指向其他依赖项(例如etcd)的攻击,同样不适用于本Bug赏金计划。当然,我们仍然关注这些与Kubernetes相关的漏洞,也欢迎大家将这些漏洞直接递交至Kubernetes产品安全委员会。关于完整涵盖范围,请点击此处参阅计划报告页面。

如何处理安全漏洞并进行信息披露

Kubernetes产品安全委员会是一支以安全为关注重点的维护团队,主要负责接收并响应与Kubernetes项目相关的安全问题报告。整个处置流程包括初始分类、评估影响、创建以及发布修复补丁。

通过我们的Bug赏金计划,计划供应方(HackerOne)将帮助我们完成初始分类与初始评估,确保我们能够将有限的内部Kubernetes安全专家人力投入到有效报告的处置当中。而且在新计划之内,原有工作不会受到任何影响——产品安全委员会将继续开发修复程序、专用补丁并协调其他具有特殊影响的安全发布工作。带有安全补丁的新版本将通过kubernetes-security-announce@googlegroups.com推出。

如果您有意上报Bug,也可以跳过Bug赏金计划,直接按照现有流程进行操作,并将发现上报至security@kubernetes.io

原文链接:Announcing the Kubernetes bug bounty program

0 个评论

要回复文章请先登录注册