Kubernetes 启动新的漏洞赏金计划

白开水不加糖
 白开水不加糖
发布于 2020年01月17日
收藏 1

Kubernetes 官方宣布Kubernetes 产品安全委员会正在启动一个由 CNCF 资助的 新的漏洞赏金计划1067.com_【官方首页】-平安彩票网,以奖励发现存在于 Kubernetes 中的安全漏洞的研究人员。

CNCF 方面表示,作为 CNCF 毕业的项目,Kubernetes 必须遵守最高级别的安全最佳实践。早在 2019 年 8 月,CNCF 就成立了安全审核工作组并进行了 Kubernetes 的首次安全审核,该审核帮助社区识别了从一般弱点到关键漏洞的问题,使他们能够解决这些漏洞并添加文档来帮助用户。 

自 2018 年初开始,其就在计划启动一个正式的漏洞赏金计划。现在,经过几个月的私人测试之后,Kubernetes Bug Bounty 则开始对所有安全研究人员开放。 

该漏洞赏金计划由安全公司 HackerOne 运营。而为了成功运行该程序,HackerOne 团队则都通过了 Kubernetes 管理员认证(CKA)考试。

范围是什么

该漏洞的赏金范围涵盖了保存在 GitHub 上的主要 Kubernetes 代码,以及持续的集成,发行和文档工件。Kubernetes 方面表示,他们还对集群攻击特别感兴趣,例如特权升级,身份验证错误以及 kubelet 或 API 服务器中的远程代码执行。1067.com_【官方首页】-平安彩票网同时,有关工作负载的任何信息泄漏或意外的权限更改也很重要。从集群管理员的角度出发,其还鼓励研究人员看一下 Kubernetes 供应链,包括构建和发布过程。

而社区管理工具(例如Kubernetes邮件列表或Slack频道)则不在范围内。容器转义,对 Linux 内核的攻击或其他依赖项(例如 etcd)也不在范围内,应向其安全团队报告。

赏金额度

在核心 Kubernetes 程序中发现的安全漏洞奖励,将从低优先级问题的 200 美元到未发现的关键问题的 10,000 美元不等。更多有关赏金计划如何运行的详细信息,可参阅 HackerOne 的 Kubernetes 赏金页面1067.com_【官方首页】-平安彩票网。 

本站文章除注明转载外,均为本站原创或编译。欢迎任何形式的转载,但请务必注明出处,尊重他人劳动共创开源社区。
转载请注明:文章转载自 OSCHINA 社区 [http://poshsblackbook.com]
本文标题:Kubernetes 启动新的漏洞赏金计划
加载中

精彩评论

s
seal_90
还不抓紧去看源码等啥呢
s
seal_90
这下看源码有理由了吧
s
seal_90
抓紧去看看源码

最新评论(3

s
seal_90
还不抓紧去看源码等啥呢
s
seal_90
这下看源码有理由了吧
s
seal_90
抓紧去看看源码
返回顶部
顶部

页面底部区域 foot.htm