云计算原生运算基金会(CNCF)发布了新的Kubernetes的漏洞赏金计划,以奖励发现Kubernetes漏洞的研究人员,给给100美元到1万美元不等的奖金。这项计划由CNCF、Google和漏洞赏金计划厂商HackerOne合作提供。
Kubernetes是CNCF旗下的项目之一,受到广泛的使用,其安全性受到高度的重视,在之前从孵化器毕业时,CNCF就出资对Kubernetes进行了首次的安全审核,作为毕业的检验标准,该次审核发现并且解决了一些过去未知的安全问题,而Kubernetes也已经成立了自己的产品安全委员会,成员包括了来自Google Kubernetes Engine安全团队的工程师,负责修补新发现的漏洞。
早从2018年开始,Kubernetes产品安全委员会就开始讨论启动正式的漏洞赏金计划,以吸引新的安全研究人员为社群工作。新推出的赏金计划的涵盖的范围,包含了GitHub存储库中所有Kubernetes核心组件的bug,包括远程程序代码执行、特权升级或是身份验证错误等。
另外,由于Kubernetes是一个社群项目,因此在Kubernetes供应链中的bug也是这项计划的奖励对象,像是构建和发布的过程,可能允许恶意人士未经授权访问提交,或影响其他构建生成文件的bug,也在奖励范围。不过,官方提到,社群管理工具、容器跳脱(Container Escape)、Linux核心攻击,或是其他相依相目,则不在计划范围之内。
视研究人员发现的bug严重程度,CNCF提供100美元到1万美元不等的奖金,这项计划已经秘密进行了几个月,通过邀请研究人员提交错误以测试分类程序,而现在这项计划正式启动。与其他漏洞赏金计划不同的是,CNCF没有规定Kubernetes测试的标准环境,研究人员能以不同的方式配置Kubernetes,CNCF希望寻找出现在各种情况的漏洞。
特别的是,这是少见为开源基础设施设置的漏洞赏金计划,即便目前有一些开源的赏金计划,像是互联网漏洞赏金计划,是针对跨环境部署的核心组件,而绝大多数的漏洞赏金计划,都还是只针对托管的网页应用程序,而Kubernetes却拥有超过100个认证发布版,这项计划是针对支持这些发布版,所共同使用的核心程序代码。
CNCF提到,Kubernetes漏洞赏金计划最困难的部分,是确认漏洞赏金计划厂商以及训练第一线的研究人员,使其具备足够的Kubernetes知识,以测试所有错误报告的有效性,HackerOne团队也通过了Kubernetes管理员认证(CKS)测验。
Google积极参与这项漏洞赏金计划构建过程,从提出程序、厂商评估、定义初始范围、测试程序以及帮助HackerOne上线等工作。CNCF则提到,他们尽可能透明地创建这个计划,包括从最初的提案开始,到评估厂商以及相关工作草案等工作。